Mạng ảo. Mạng ảo dựa trên nhóm cổng. Mạng ảo dựa trên giao thức mạng

Mạng cục bộ ảo (VLAN) là một nhóm các nút mạng có lưu lượng truy cập, bao gồm cả lưu lượng phát sóng, hoàn toàn bị cô lập ở cấp độ liên kết với lưu lượng truy cập của các nút mạng khác.

Cơm. 14.10. Ảo mạng cục bộ.

Điều này có nghĩa là các khung không thể được truyền giữa các mạng ảo khác nhau dựa trên địa chỉ lớp liên kết, bất kể loại địa chỉ (duy nhất, multicast hoặc quảng bá). Đồng thời, trong mạng ảo, các khung được truyền bằng công nghệ chuyển mạch, sau đó chỉ đến cổng được liên kết với địa chỉ đích của khung.

Các Vlan có thể chồng lên nhau nếu một hoặc nhiều máy tính là một phần của nhiều Vlan. Trong bộ lễ phục. 14.10 máy chủ email là một phần của mạng ảo 3 và 4. Điều này có nghĩa là các khung của nó được truyền bằng các bộ chuyển mạch đến tất cả các máy tính có trong các mạng này. Nếu một máy tính chỉ là một phần của mạng ảo 3 thì các khung của nó sẽ không đến được mạng 4 nhưng nó có thể tương tác với các máy tính trên mạng 4 thông qua một máy chủ thư chung. Lược đồ này không bảo vệ hoàn toàn các mạng ảo khỏi nhau, chẳng hạn như một cơn bão phát sóng xảy ra trên máy chủ E-mail, sẽ làm ngập cả mạng 3 và mạng 4.

Một mạng ảo được cho là tạo thành một miền lưu lượng phát sóng, tương tự như miền xung đột được hình thành bởi các bộ lặp Ethernet.

Mục đích của mạng ảo

Như chúng ta đã thấy trong ví dụ ở phần trước, bằng cách sử dụng các bộ lọc tùy chỉnh, bạn có thể can thiệp vào hoạt động bình thường của các bộ chuyển mạch và hạn chế sự tương tác của các nút mạng cục bộ theo các quy tắc truy cập được yêu cầu. Tuy nhiên, cơ chế lọc chuyển đổi tùy chỉnh có một số nhược điểm:

Cần thiết lập các điều kiện riêng cho từng nút mạng, sử dụng các địa chỉ MAC cồng kềnh. Sẽ dễ dàng hơn nhiều để nhóm các nút và mô tả các điều kiện tương tác cho các nhóm cùng một lúc.

Không thể chặn lưu lượng phát sóng. Lưu lượng phát sóng có thể khiến mạng không khả dụng nếu một trong các nút của nó cố ý hoặc vô ý tạo ra các khung phát sóng với cường độ lớn.

Kỹ thuật mạng cục bộ ảo giải quyết vấn đề hạn chế sự tương tác của các nút mạng theo một cách khác.

Mục đích chính Công nghệ VLAN là để tạo điều kiện thuận lợi cho quá trình tạo các mạng biệt lập, sau đó các mạng này thường được kết nối với nhau bằng bộ định tuyến. Thiết kế mạng này tạo ra những rào cản mạnh mẽ đối với lưu lượng truy cập không mong muốn từ mạng này sang mạng khác. Ngày nay, điều hiển nhiên là bất kỳ mạng lớn nào cũng phải bao gồm các bộ định tuyến, nếu không, các luồng khung bị lỗi, chẳng hạn như các chương trình phát sóng, sẽ định kỳ "làm ngập" toàn bộ mạng thông qua các bộ chuyển mạch trong suốt đối với chúng, khiến mạng không thể hoạt động được.

Ưu điểm của công nghệ mạng ảo là cho phép bạn tạo các phân đoạn mạng hoàn toàn biệt lập bằng cấu hình logic của các switch mà không làm thay đổi cấu trúc vật lý.

Trước khi công nghệ VLAN ra đời, các phân đoạn vật lý bị cô lập đều được sử dụng để tạo ra một mạng riêng biệt. cáp đồng trục hoặc các phân đoạn không được kết nối được xây dựng trên các bộ lặp và cầu nối. Các mạng này sau đó được kết nối bằng bộ định tuyến thành một mạng tổng hợp duy nhất (Hình 14.11).

Việc thay đổi thành phần của các phân đoạn (người dùng di chuyển sang mạng khác, chia các phân đoạn lớn) bằng phương pháp này ngụ ý việc kết nối lại vật lý các đầu nối trên mặt trước của bộ lặp hoặc trên các bảng kết nối chéo, điều này không thuận tiện lắm trong mạng lưới lớn- rất nhiều công việc thể chất và có khả năng xảy ra lỗi cao.

Cơm. 14.11. Mạng tổng hợp bao gồm các mạng được xây dựng trên cơ sở các bộ lặp

Việc liên kết các mạng ảo thành một mạng chung đòi hỏi sự tham gia của các công cụ cấp độ mạng. Nó có thể được thực hiện trong một bộ định tuyến riêng biệt hoặc như một phần của phần mềm công tắc, sau đó trở thành một thiết bị kết hợp - cái gọi là công tắc lớp 3.

Công nghệ mạng ảo trong một khoảng thời gian dài không được tiêu chuẩn hóa, mặc dù nó được triển khai trong rất nhiều mô hình chuyển mạch nhà sản xuất khác nhau. Tình hình đã thay đổi với việc áp dụng tiêu chuẩn IEEE 802.1Q vào năm 1998, định nghĩa quy tắc cơ bản xây dựng các mạng cục bộ ảo độc lập với giao thức cấp liên kết được hỗ trợ bởi bộ chuyển mạch.

Tạo mạng ảo dựa trên một switch

Khi tạo mạng ảo dựa trên một switch duy nhất, cơ chế nhóm cổng switch thường được sử dụng (Hình 14.12). Trong trường hợp này, mỗi cổng được gán cho một hoặc một mạng ảo khác. Một khung đến từ một cổng thuộc mạng ảo 1 sẽ không bao giờ được truyền đến một cổng không thuộc mạng ảo này. Một cổng có thể được gán cho một số mạng ảo, mặc dù trên thực tế, điều này hiếm khi được thực hiện - hiệu ứng cô lập hoàn toàn các mạng sẽ biến mất.

Tạo mạng ảo bằng cách nhóm các cổng không đòi hỏi nhiều công sức của quản trị viên tự lập- chỉ cần gán mỗi cổng cho một trong một số mạng ảo được đặt tên trước là đủ. Thông thường, thao tác này được thực hiện bằng chương trình đặc biệt được cung cấp kèm theo công tắc.

Phương pháp tạo mạng ảo thứ hai dựa trên việc nhóm các địa chỉ MAC. Mỗi địa chỉ MAC mà switch học được sẽ được gán cho một mạng ảo cụ thể. Khi có nhiều nút trong mạng, phương pháp này đòi hỏi quản trị viên phải thực hiện một lượng lớn thao tác thủ công. Tuy nhiên, khi xây dựng mạng ảo dựa trên nhiều switch, nó lại linh hoạt hơn so với việc nhóm cổng.

Cơm. 14.12. Mạng ảođược xây dựng trên một công tắc

Tạo mạng ảo dựa trên một số thiết bị chuyển mạch

Hình 14.13 minh họa vấn đề phát sinh khi tạo mạng ảo dựa trên nhiều switch hỗ trợ kỹ thuật port trunking.

Cơm. 14.13. Xây dựng mạng ảo trên một số thiết bị chuyển mạch có nhóm cổng

Nếu các nút của mạng ảo được kết nối với các bộ chuyển mạch khác nhau thì một cặp cổng đặc biệt phải được phân bổ trên các bộ chuyển mạch để kết nối từng mạng đó. Do đó, các bộ chuyển mạch trung kế cổng yêu cầu nhiều cổng cho kết nối của chúng bằng số lượng mạng ảo mà chúng hỗ trợ. Cổng và cáp được sử dụng rất lãng phí trong trường hợp này. Ngoài ra, khi kết nối mạng ảo thông qua bộ định tuyến, mỗi mạng ảo sẽ được phân bổ một cáp và cổng bộ định tuyến riêng, điều này cũng dẫn đến chi phí chung cao.

Việc nhóm các địa chỉ MAC thành một mạng ảo trên mỗi bộ chuyển mạch sẽ loại bỏ nhu cầu liên kết chúng trên nhiều cổng, vì khi đó địa chỉ MAC sẽ trở thành nhãn mạng ảo. Tuy nhiên, phương pháp này đòi hỏi số lượng lớn thao tác thủ công để đánh dấu địa chỉ MAC trên mỗi bộ chuyển mạch mạng.

Hai cách tiếp cận được mô tả chỉ dựa trên việc thêm thông tin bổ sung vào bảng địa chỉ của bộ chuyển mạch và không có khả năng nhúng thông tin về quyền sở hữu khung mạng ảo vào khung được truyền. Theo các cách tiếp cận khác, các trường khung hiện có hoặc bổ sung được sử dụng để lưu trữ thông tin về tư cách thành viên của khung trong một mạng cục bộ ảo cụ thể khi nó di chuyển giữa các thiết bị chuyển mạch mạng. Trong trường hợp này, không cần phải nhớ trong mỗi switch rằng tất cả địa chỉ MAC của mạng tổng hợp đều thuộc về mạng ảo.

Ethernet giới thiệu một tiêu đề bổ sung được gọi là thẻ Vlan.

Thẻ Vlan là tùy chọn cho khung Ethernet. Khung có tiêu đề như vậy được gọi là khung được gắn thẻ. Switch có thể xử lý đồng thời cả khung được gắn thẻ và không được gắn thẻ. Do có thêm thẻ VLAN chiều dài tối đa trường dữ liệu giảm 4 byte.

Để thiết bị mạng cục bộ phân biệt và hiểu các khung được gắn thẻ, giá trị trường EtherType đặc biệt là 0x8100 được giới thiệu cho chúng. Giá trị này chỉ ra rằng nó được theo sau bởi trường TCI chứ không phải trường dữ liệu tiêu chuẩn. Lưu ý rằng trong khung được gắn thẻ, các trường thẻ Vlan được theo sau bởi một trường EtherType khác cho biết loại giao thức có dữ liệu được trường dữ liệu của khung mang theo.

Trường TCI chứa trường số Vlan (mã định danh) 12 bit được gọi là VID. Độ rộng của trường VID cho phép các switch tạo tới 4096 mạng ảo.

Sử dụng giá trị VID trong các khung được gắn thẻ, các bộ chuyển mạch mạng thực hiện lọc lưu lượng theo nhóm, chia mạng thành các phân đoạn ảo, nghĩa là thành các Vlan. Để hỗ trợ chế độ này, mỗi cổng switch được gán cho một hoặc nhiều mạng cục bộ ảo, nghĩa là việc nhóm cổng được thực hiện.

Để đơn giản hóa cấu hình mạng, chuẩn 802.1Q giới thiệu các khái niệm về đường truy cập và đường trục.

Một đường truy cập kết nối một cổng chuyển mạch (được gọi là cổng truy cập trong trường hợp này) với một máy tính thuộc mạng cục bộ ảo.

Đường trục là đường dây liên lạc kết nối các cổng của hai thiết bị chuyển mạch; nói chung, lưu lượng truy cập từ một số mạng ảo được truyền qua đường trục.

Để tạo một mạng cục bộ ảo trong mạng nguồn, trước tiên bạn phải chọn cho nó một giá trị VID khác 1, sau đó, sử dụng các lệnh cấu hình chuyển đổi, gán cho mạng này những cổng mà các máy tính trong đó được kết nối . Một cổng truy cập chỉ có thể được gán cho một VLAN.

Các cổng truy cập nhận các khung không được gắn thẻ từ các nút cuối trên mạng và gắn thẻ chúng bằng thẻ Vlan có chứa Giá trị VID, được gán cho cổng này. Khi truyền các khung được gắn thẻ đến nút cuối, cổng truy cập sẽ loại bỏ thẻ Vlan.

Để có mô tả rõ ràng hơn, hãy quay lại ví dụ về mạng đã thảo luận trước đó. Quả sung. Hình 14.15 cho thấy cách giải quyết vấn đề truy cập có chọn lọc vào máy chủ dựa trên kỹ thuật VLAN.

Cơm. 14.15. Chia mạng thành hai mạng cục bộ ảo

Để giải quyết vấn đề này, chúng ta có thể tổ chức hai mạng cục bộ ảo trên mạng, VLAN2 và VLAN3 (hãy nhớ rằng VLAN1 đã tồn tại theo mặc định - đây là mạng ban đầu của chúng ta), gán một bộ máy tính và máy chủ cho VLAN2, còn bộ kia cho KVLAN3.

Để gán các nút cuối cho một Vlan cụ thể, các cổng tương ứng được khai báo là cổng truy cập của mạng đó bằng cách gán cho chúng VID thích hợp. Ví dụ: cổng 1 của SW1 phải được khai báo là cổng truy cập của VLAN2 bằng cách gán VID2, điều tương tự cũng phải được thực hiện với cổng 5 của SW1, cổng 1 của SW2 và cổng 1 của SW3. Cổng truy cập Vlan 3 sẽ nhận được VID3.

Trong mạng của mình, bạn cũng cần tổ chức các đường trục - những đường liên lạc kết nối các cổng chuyển mạch với nhau. Các cổng kết nối với đường trục không thêm hoặc bớt thẻ, chúng chỉ truyền các khung không thay đổi. Trong ví dụ của chúng tôi, các cổng như vậy phải là cổng 6 của bộ chuyển mạch SW1 và SW2, cũng như cổng 3 và 4 của bộ chuyển mạch ShchZ. Các cổng trong ví dụ của chúng tôi phải hỗ trợ Vlan2 và Vlan3 (và Vlan1, nếu có các nút trong mạng không được gán rõ ràng cho bất kỳ Vlan nào).

Các thiết bị chuyển mạch hỗ trợ công nghệ VLAN cung cấp khả năng lọc lưu lượng bổ sung. Nếu bảng chuyển tiếp của switch cho biết khung đến cần được truyền đến một cổng nhất định thì trước khi truyền, switch sẽ kiểm tra xem giá trị VTD trong thẻ VL AN của khung có tương ứng với mạng cục bộ ảo được gán cho cổng này hay không. Nếu trùng khớp thì khung sẽ được truyền đi, nếu không khớp thì khung sẽ bị loại bỏ. Các khung không được gắn thẻ được xử lý theo cách tương tự nhưng sử dụng VLAN1 có điều kiện. Địa chỉ MAC được các bộ chuyển mạch mạng học riêng biệt, nhưng đối với mỗi Vlan.

Kỹ thuật VLAN tỏ ra rất hiệu quả trong việc hạn chế quyền truy cập vào máy chủ. Việc định cấu hình mạng cục bộ ảo không yêu cầu kiến thức về địa chỉ MAC của các nút; ngoài ra, bất kỳ thay đổi nào trong mạng, ví dụ như kết nối máy tính với một bộ chuyển mạch khác, chỉ yêu cầu định cấu hình cổng của bộ chuyển mạch này và tất cả các bộ chuyển mạch khác trong mạng. mạng tiếp tục hoạt động mà không thực hiện thay đổi cấu hình của chúng.

TRÊN khoảnh khắc này nhiều tổ chức hiện đại và các doanh nghiệp thực tế không sử dụng một cơ hội rất hữu ích và thường cần thiết như tổ chức một ảo (Vlan) trong khuôn khổ cơ sở hạ tầng tích hợp, được cung cấp bởi hầu hết các thiết bị chuyển mạch hiện đại. Điều này do nhiều yếu tố nên cần cân nhắc công nghệ này từ quan điểm về khả năng sử dụng nó cho các mục đích đó.

mô tả chung

Đầu tiên, cần quyết định VLAN là gì. Điều này có nghĩa là một nhóm máy tính được kết nối với mạng, được hợp nhất một cách hợp lý thành một miền để gửi tin nhắn quảng bá theo một tiêu chí nhất định. Ví dụ: các nhóm có thể được phân biệt tùy thuộc vào cấu trúc của doanh nghiệp hoặc theo loại công việc trong một dự án hoặc nhiệm vụ cùng nhau. Vlan cung cấp một số lợi ích. Để bắt đầu Chúng ta đang nói vềồ nhiều hơn nữa sử dụng hiệu quả băng thông(so với các mạng cục bộ truyền thống), mức độ bảo vệ thông tin được truyền đi tăng lên cũng như sơ đồ quản trị đơn giản hóa.

Vì khi sử dụng Vlan, toàn bộ mạng được chia thành các miền quảng bá nên thông tin trong cấu trúc đó chỉ được truyền giữa các thành viên của nó chứ không phải đến tất cả các máy tính trong mạng vật lý. Hóa ra lưu lượng phát sóng do máy chủ tạo ra bị giới hạn trong một miền được xác định trước, tức là nó không được phát đến tất cả các trạm trên mạng này. Đây là cách chúng tôi đạt được phân phối tối ưu băng thông mạng giữa các nhóm máy tính chuyên dụng: máy chủ và máy trạm từ các Vlan khác nhau đơn giản là không nhìn thấy nhau.

Làm thế nào để tất cả các quá trình tiến hành?

Trong một mạng như vậy, thông tin được bảo vệ khá tốt khỏi việc trao đổi dữ liệu được thực hiện trong một nhóm máy tính cụ thể, nghĩa là chúng không thể nhận lưu lượng được tạo trong một số cấu trúc tương tự khác.

Nếu chúng ta nói về VLAN là gì, thì cần lưu ý lợi thế của phương pháp tổ chức này là việc đơn giản hóa mạng sẽ ảnh hưởng đến các tác vụ như thêm các phần tử mới vào mạng, di chuyển và xóa chúng. Ví dụ: nếu người dùng Vlan di chuyển đến một vị trí khác, quản trị viên mạng sẽ không cần kết nối lại cáp. Anh ấy chỉ nên điều chỉnh thiết bị mạng từ nơi làm việc của bạn. Trong một số triển khai của các mạng như vậy, sự di chuyển của các thành viên trong nhóm có thể được kiểm soát chế độ tự động thậm chí không cần sự can thiệp của quản trị viên. Anh ta chỉ cần biết cách cấu hình VLAN để thực hiện tất cả các thao tác cần thiết. Anh ta có thể tạo các nhóm người dùng hợp lý mới mà không cần rời khỏi chỗ ngồi của mình. Điều này tiết kiệm rất nhiều thời gian làm việc, có thể hữu ích để giải quyết các vấn đề không kém phần quan trọng.

Phương pháp tổ chức VLAN

Có ba Các tùy chọn khác nhau: Dựa trên cổng, giao thức lớp 3 hoặc địa chỉ MAC. Mỗi phương pháp tương ứng với một trong ba mức thấp Các mô hình OSI: vật lý, mạng và kênh tương ứng. Nếu chúng ta nói về Vlan là gì, thì điều đáng chú ý là sự hiện diện của phương pháp tổ chức thứ tư - dựa trên các quy tắc. Ngày nay nó hiếm khi được sử dụng, mặc dù nó mang lại tính linh hoạt cao hơn. Bạn có thể xem xét từng chi tiết hơn. các phương pháp được liệt kêđể hiểu chúng có những đặc điểm gì.

VLAN dựa trên cổng

Điều này liên quan đến sự kết hợp logic của các cổng chuyển mạch vật lý nhất định được chọn để liên lạc. Ví dụ, nó có thể xác định rằng cổng cụ thể Ví dụ: 1, 2 và 5 tạo thành Vlan1 và các số 3, 4 và 6 được sử dụng cho Vlan2, v.v. Một cổng chuyển đổi có thể được sử dụng để kết nối một số máy tính mà chúng sử dụng, chẳng hạn như một trung tâm. Tất cả chúng sẽ được xác định là thành viên của cùng một mạng ảo mà cổng phục vụ của switch được đăng ký. Sự ràng buộc cứng nhắc như vậy đối với tư cách thành viên mạng ảo là nhược điểm chính của sơ đồ tổ chức như vậy.

Vlan dựa trên địa chỉ MAC

Phương pháp này dựa trên việc sử dụng các địa chỉ cấp liên kết thập lục phân duy nhất có sẵn trên mỗi máy chủ hoặc trạm làm việc mạng. Nếu chúng ta nói về Vlan là gì, thì cần lưu ý rằng phương pháp này được coi là linh hoạt hơn so với phương pháp trước, vì hoàn toàn có thể kết nối các máy tính thuộc các mạng ảo khác nhau với một cổng chuyển mạch. Ngoài ra, nó còn tự động theo dõi chuyển động của máy tính từ cổng này sang cổng khác, cho phép bạn duy trì liên kết với khách hàng mạng cụ thể không có sự can thiệp của quản trị viên.

Nguyên lý hoạt động ở đây rất đơn giản: switch duy trì một bảng tương ứng giữa các địa chỉ MAC của máy trạm và mạng ảo. Ngay khi máy tính chuyển sang một số cổng khác, trường địa chỉ MAC sẽ được so sánh với dữ liệu bảng, sau đó kết luận đúng về chiếc máy tính thuộc quyền sở hữu của mạng cụ thể. Nhược điểm của phương pháp này là cấu hình VLAN phức tạp, ban đầu có thể gây ra lỗi. Cho rằng switch xây dựng các bảng địa chỉ một cách độc lập, quản trị mạng phải xem qua tất cả để xác định địa chỉ nào là địa chỉ nào nhóm ảo tương ứng, sau đó anh ta gán nó cho các Vlan tương ứng. Và đây là nơi có thể xảy ra lỗi, điều này đôi khi xảy ra trong các VLAN của Cisco, cấu hình của chúng khá đơn giản nhưng việc phân phối lại sau đó sẽ khó khăn hơn so với trường hợp sử dụng cổng.

Vlan dựa trên giao thức lớp 3

Phương pháp này khá hiếm khi được sử dụng trong các thiết bị chuyển mạch ở cấp độ nhóm làm việc hoặc khoa. Nó điển hình cho các mạng đường trục được trang bị các công cụ định tuyến tích hợp cho các giao thức mạng cục bộ chính - IP, IPX và AppleTalk. Phương pháp này giả định rằng một nhóm cổng chuyển đổi thuộc về một Vlan cụ thể sẽ được liên kết với một số mạng con IP hoặc IPX. TRONG trong trường hợp này tính linh hoạt được cung cấp bởi thực tế là việc di chuyển của người dùng đến một cổng khác thuộc cùng một mạng ảo được giám sát bởi bộ chuyển mạch và không yêu cầu cấu hình lại. Định tuyến Vlan trong trường hợp này khá đơn giản, vì switch trong trường hợp này phân tích địa chỉ mạng máy tính được xác định cho mỗi mạng. Phương pháp này cũng hỗ trợ tương tác giữa các Vlan khác nhau mà không cần sử dụng các công cụ bổ sung. Ngoài ra còn có một nhược điểm phương pháp này- chi phí cao của thiết bị chuyển mạch trong đó nó được thực hiện. Rostelecom VLAN hỗ trợ hoạt động ở cấp độ này.

kết luận

Như bạn đã hiểu, mạng ảo là một công cụ khá mạnh có thể giải quyết các vấn đề liên quan đến bảo mật truyền dữ liệu, quản trị, kiểm soát truy cập và tăng hiệu quả sử dụng.

Ngoài mục đích chính - tăng thông lượng của các kết nối trong mạng - bộ chuyển mạch cho phép bạn bản địa hóa các luồng thông tin, cũng như kiểm soát các luồng này và quản lý chúng bằng cơ chế bộ lọc tùy chỉnh. Tuy nhiên, bộ lọc tùy chỉnh có thể ngăn việc chỉ truyền khung đến các địa chỉ cụ thể, trong khi nó truyền lưu lượng phát đến tất cả các phân đoạn mạng. Đây là nguyên lý hoạt động của thuật toán cầu nối được triển khai trong bộ chuyển mạch, đó là lý do tại sao các mạng được tạo trên cơ sở cầu nối và bộ chuyển mạch đôi khi được gọi là phẳng - do không có rào cản đối với lưu lượng phát sóng.

Công nghệ mạng cục bộ ảo (Mạng LAN ảo, Vlan), xuất hiện cách đây vài năm, cho phép khắc phục hạn chế này. Mạng ảo là một nhóm các nút mạng có lưu lượng truy cập, bao gồm cả lưu lượng phát sóng, hoàn toàn tách biệt với các nút khác ở cấp liên kết dữ liệu (xem Hình 1). Điều này có nghĩa là không thể truyền trực tiếp các khung giữa các mạng ảo khác nhau, bất kể loại địa chỉ - duy nhất, đa hướng hay quảng bá. Đồng thời, trong mạng ảo, các khung được truyền theo công nghệ chuyển mạch, tức là chỉ đến cổng mà địa chỉ đích của khung được gán.

Mạng ảo có thể chồng chéo nếu một hoặc nhiều máy tính được đưa vào nhiều mạng ảo. Trong Hình 1, máy chủ email là một phần của mạng ảo 3 và 4, do đó các khung của nó được truyền bằng các switch tới tất cả các máy tính trên các mạng này. Nếu một máy tính chỉ được gán cho mạng ảo 3 thì các khung của nó sẽ không đến được mạng 4 nhưng nó có thể tương tác với các máy tính trên mạng 4 thông qua một điểm chung máy chủ thư. Đề án này không cách ly hoàn toàn các mạng ảo với nhau - ví dụ: một cơn bão phát sóng do máy chủ email khởi xướng sẽ áp đảo cả mạng 3 và mạng 4.

Một mạng ảo được cho là tạo thành một miền lưu lượng phát sóng, tương tự như miền xung đột được hình thành bởi các bộ lặp Ethernet.

Gán VLAN

Công nghệ Vlan giúp việc tạo các mạng biệt lập được kết nối bằng bộ định tuyến hỗ trợ giao thức lớp mạng, chẳng hạn như IP, trở nên dễ dàng hơn. Giải pháp này tạo ra những rào cản mạnh mẽ hơn nhiều đối với lưu lượng truy cập sai từ mạng này sang mạng khác. Ngày nay, người ta tin rằng bất kỳ mạng lớn nào cũng phải bao gồm các bộ định tuyến, nếu không, các luồng khung bị lỗi, đặc biệt là các khung phát sóng, thông qua các bộ chuyển mạch trong suốt đối với chúng sẽ định kỳ "làm ngập" toàn bộ mạng, khiến nó không thể hoạt động được.

Công nghệ mạng ảo cung cấp cơ sở linh hoạt để xây dựng một mạng lớn được kết nối bằng bộ định tuyến, vì bộ chuyển mạch cho phép bạn tạo các phân đoạn hoàn toàn biệt lập theo chương trình mà không cần dùng đến chuyển đổi vật lý.

Trước khi công nghệ VLAN ra đời, việc triển khai một mạng riêng biệt sử dụng các phần cáp đồng trục bị cô lập về mặt vật lý hoặc các phân đoạn không được kết nối dựa trên các bộ lặp và cầu nối. Sau đó, các mạng được kết nối thông qua các bộ định tuyến thành một mạng tổng hợp duy nhất (xem Hình 2).

Việc thay đổi thành phần của các phân đoạn (người dùng chuyển sang mạng khác, chia nhỏ các phần lớn) bằng phương pháp này ngụ ý kết nối lại vật lý các đầu nối trên mặt trước của bộ lặp hoặc trong bảng phân tần, điều này không thuận tiện lắm trong mạng lưới lớn- đây là công việc tốn rất nhiều công sức và khả năng xảy ra sai sót là rất cao. Do đó, để loại bỏ nhu cầu chuyển đổi lại các nút vật lý, các bộ tập trung nhiều phân đoạn bắt đầu được sử dụng để thành phần của phân đoạn chia sẻ có thể được lập trình lại mà không cần chuyển đổi lại vật lý.

Tuy nhiên, việc thay đổi thành phần của các phân đoạn bằng cách sử dụng các hub đặt ra những hạn chế lớn đối với cấu trúc mạng - số lượng phân đoạn của một bộ lặp như vậy thường nhỏ và việc phân bổ từng nút riêng của nó là không thực tế, như có thể được thực hiện bằng cách sử dụng bộ chuyển mạch. Ngoài ra, với cách tiếp cận này, mọi công việc truyền dữ liệu giữa các phân đoạn đều do các bộ định tuyến và các bộ chuyển mạch tự thực hiện. hiệu suất cao vẫn “thất nghiệp”. Do đó, các mạng dựa trên bộ lặp chuyển đổi cấu hình vẫn yêu cầu chia sẻ phương tiện truyền dữ liệu một lượng lớn các nút và do đó có hiệu suất thấp hơn nhiều so với các mạng dựa trên chuyển mạch.

Khi sử dụng công nghệ mạng ảo trong các thiết bị chuyển mạch, hai vấn đề được giải quyết đồng thời:

tăng hiệu suất trong mỗi mạng ảo, vì bộ chuyển mạch chỉ truyền khung hình đến nút đích;
Cô lập các mạng với nhau để quản lý quyền truy cập của người dùng và tạo hàng rào bảo vệ chống lại các cơn bão phát sóng.

Kết hợp mạng ảo vào mạng chia sẻđược thực hiện ở lớp mạng, có thể đạt được bằng cách sử dụng bộ định tuyến hoặc phần mềm chuyển mạch riêng biệt. Cái sau trong trường hợp này trở thành một thiết bị kết hợp - cái gọi là công tắc cấp ba.

Công nghệ hình thành và vận hành mạng ảo sử dụng switch từ lâu đã chưa được chuẩn hóa mặc dù đã được triển khai trên rất nhiều mẫu switch của các nhà sản xuất khác nhau. Tình hình đã thay đổi sau khi áp dụng tiêu chuẩn IEEE 802.1Q vào năm 1998, tiêu chuẩn này xác định các quy tắc cơ bản để xây dựng mạng cục bộ ảo, bất kể giao thức lớp liên kết nào được switch hỗ trợ.

Do sự vắng mặt của tiêu chuẩn VLAN đã lâu nên mỗi công ty lớn, công ty sản xuất thiết bị chuyển mạch, đã phát triển công nghệ mạng ảo của riêng mình, theo quy luật, công nghệ này không tương thích với công nghệ của các nhà sản xuất khác. Do đó, bất chấp sự xuất hiện của tiêu chuẩn, không quá hiếm khi gặp phải tình huống các mạng ảo được tạo trên cơ sở thiết bị chuyển mạch từ một nhà cung cấp không được công nhận và do đó, không được hỗ trợ bởi các thiết bị chuyển mạch từ nhà cung cấp khác.

TẠO VLAN DỰA TRÊN MỘT CHUYỂN ĐỔI

Khi tạo mạng ảo dựa trên một switch duy nhất, cơ chế nhóm các cổng switch trong mạng thường được sử dụng (xem Hình 3). Hơn nữa, mỗi người trong số họ được gán cho một hoặc một mạng ảo khác. Một khung đến từ một cổng thuộc về mạng ảo 1 chẳng hạn sẽ không bao giờ được truyền đến một cổng không thuộc về nó. Một cổng có thể được gán cho một số mạng ảo, mặc dù trên thực tế, điều này hiếm khi được thực hiện - hiệu ứng cô lập hoàn toàn các mạng sẽ biến mất.

Nhóm các cổng của một switch là cách hợp lý nhất để tạo thành một VLAN, vì trong trường hợp này không thể có nhiều mạng ảo hơn số cổng. Nếu một bộ lặp được kết nối với một cổng nhất định, thì việc đưa các nút của phân đoạn tương ứng vào các mạng ảo khác nhau sẽ không có ý nghĩa gì - lưu lượng truy cập của chúng vẫn sẽ phổ biến.

Cách tiếp cận này không yêu cầu quản trị viên thực hiện nhiều công việc thủ công - chỉ cần gán mỗi cổng cho một trong một số mạng ảo được đặt tên trước là đủ. Thông thường thao tác này được thực hiện bằng cách sử dụng chương trình đặc biệtđi kèm với công tắc. Quản trị viên tạo mạng ảo bằng cách kéo các biểu tượng đồ họa cổng vào ký hiệu đồ họa mạng.

Một cách khác để hình thành mạng ảo là dựa trên việc nhóm các địa chỉ MAC. Mỗi địa chỉ MAC mà switch biết sẽ được gán cho một mạng ảo cụ thể. Nếu có nhiều nút trên mạng, quản trị viên sẽ phải thực hiện nhiều thao tác thủ công. Tuy nhiên, khi xây dựng mạng ảo dựa trên nhiều switch, phương pháp này linh hoạt hơn so với việc nhóm cổng.

TẠO VLAN DỰA TRÊN NHIỀU CÔNG TẮC

Hình 4 minh họa tình huống phát sinh khi tạo mạng ảo dựa trên nhiều switch thông qua việc nhóm cổng. Nếu các nút của mạng ảo được kết nối với các bộ chuyển mạch khác nhau thì phải phân bổ một cặp cổng riêng biệt để kết nối các bộ chuyển mạch của từng mạng đó. Nếu không, thông tin về quyền sở hữu khung đối với một mạng ảo cụ thể sẽ bị mất khi truyền từ switch này sang switch khác. Do đó, phương pháp trung kế cổng yêu cầu nhiều cổng để kết nối các thiết bị chuyển mạch cũng như số lượng mạng ảo mà chúng hỗ trợ—dẫn đến việc sử dụng cổng và cáp rất lãng phí. Ngoài ra, để tổ chức sự tương tác của các mạng ảo thông qua bộ định tuyến, mỗi mạng cần có một cáp và cổng bộ định tuyến riêng, điều này cũng dẫn đến chi phí chung cao.

Việc nhóm các địa chỉ MAC thành một mạng ảo trên mỗi bộ chuyển mạch sẽ loại bỏ nhu cầu kết nối chúng qua nhiều cổng vì khi đó nhãn mạng ảo chính là địa chỉ MAC. Tuy nhiên, phương pháp này yêu cầu gắn nhiều địa chỉ MAC thủ công trên mỗi switch trong mạng.

Hai cách tiếp cận được mô tả chỉ dựa trên việc thêm thông tin vào bảng địa chỉ cầu nối và không bao gồm thông tin về tư cách thành viên của khung trong mạng ảo trong khung được truyền. Các phương pháp khác sử dụng các trường khung hiện có hoặc bổ sung để ghi lại thông tin quyền sở hữu khung khi nó di chuyển giữa các thiết bị chuyển mạch mạng. Ngoài ra, không cần phải nhớ trên mỗi switch mạng ảo nào sở hữu địa chỉ MAC của mạng nội bộ.

Trường bổ sung được đánh dấu số mạng ảo chỉ được sử dụng khi khung được chuyển từ bộ chuyển mạch này sang bộ chuyển mạch khác và khi khung được chuyển đến nút cuối, nó thường bị loại bỏ. Trong trường hợp này, giao thức tương tác giữa các nút chuyển đổi được sửa đổi, trong khi phần mềm và phần cứng của các nút cuối vẫn không thay đổi. Có rất nhiều ví dụ về các giao thức độc quyền như vậy, nhưng chúng có một nhược điểm chung - chúng không được các nhà sản xuất khác hỗ trợ. Cisco đã đề xuất tiêu đề giao thức 802.10 như một phần bổ sung tiêu chuẩn cho các khung của bất kỳ giao thức mạng cục bộ nào, mục đích của nó là hỗ trợ các chức năng bảo mật mạng máy tính. Bản thân công ty sử dụng phương pháp này trong trường hợp các thiết bị chuyển mạch được kết nối với nhau bằng giao thức FDDI. Tuy nhiên, sáng kiến này không được các nhà sản xuất switch hàng đầu khác ủng hộ.

Để lưu trữ số mạng ảo, tiêu chuẩn IEEE 802.1Q cung cấp tiêu đề bổ sung hai byte, được sử dụng cùng với giao thức 802.1p. Ngoài ba bit để lưu trữ giá trị ưu tiên của khung, như được mô tả bởi tiêu chuẩn 802.1p, còn có 12 bit trong tiêu đề này để lưu trữ số lượng mạng ảo mà khung đó thuộc về. Cái này thông tin thêmđược gọi là thẻ mạng ảo (VLAN TAG) và cho phép các thiết bị chuyển mạch từ các nhà sản xuất khác nhau tạo ra tối đa 4096 mạng ảo được chia sẻ. Khung như vậy được gọi là "được gắn thẻ". Độ dài của khung Ethernet được gắn thẻ tăng thêm 4 byte, vì ngoài hai byte của chính thẻ, hai byte nữa được thêm vào. Cấu trúc của khung Ethernet được gắn thẻ được hiển thị trong Hình 5. Bằng cách thêm tiêu đề 802.1p/Q, trường dữ liệu sẽ giảm đi hai byte.

Hình 5. Cấu trúc của khung Ethernet được đánh dấu.

Sự xuất hiện của tiêu chuẩn 802.1Q giúp khắc phục những khác biệt trong việc triển khai Vlan độc quyền và đạt được khả năng tương thích khi xây dựng mạng cục bộ ảo. Kỹ thuật VLAN được hỗ trợ bởi các nhà sản xuất thiết bị chuyển mạch và bộ điều hợp mạng. Trong trường hợp sau, bộ điều hợp mạng có thể tạo và nhận các khung Ethernet được gắn thẻ có chứa trường TAG VLAN. Nếu bộ điều hợp mạng tạo ra các khung được đánh dấu thì nó sẽ xác định chúng thuộc về một mạng cục bộ ảo cụ thể, do đó bộ chuyển mạch phải xử lý chúng tương ứng, nghĩa là truyền hoặc không truyền đến cổng đầu ra, tùy thuộc vào tư cách thành viên của cổng. Trình điều khiển bộ điều hợp mạng nhận số lượng mạng cục bộ ảo của nó (hoặc của nó) từ quản trị viên mạng (thông qua cấu hình thủ công) hoặc từ một số ứng dụng đang chạy trên nút này. Một ứng dụng như vậy có thể hoạt động tập trung trên một trong các máy chủ mạng và quản lý cấu trúc của toàn bộ mạng.

Hỗ trợ Vlan bộ điều hợp mạng Bạn có thể tránh cấu hình tĩnh bằng cách gán một cổng cho một mạng ảo cụ thể. Tuy nhiên, phương pháp cấu hình VLAN tĩnh vẫn phổ biến vì nó cho phép bạn tạo mạng có cấu trúc mà không liên quan đến phần mềm nút cuối.

Natalya Olifer là người phụ trách chuyên mục của Tạp chí Giải pháp Mạng/LAN. Cô ấy có thể liên lạc tại:

Khái niệm mạng ảo riêng, viết tắt là VPN (từ tiếng Anh xuất hiện trong công nghệ máy tính gần đây. Việc tạo ra loại kết nối này giúp kết hợp các thiết bị đầu cuối máy tính và thiết bị di động thành mạng ảo mà không cần dây thông thường, bất kể vị trí của thiết bị đầu cuối cụ thể. Bây giờ chúng ta sẽ xem xét cách hoạt động của kết nối VPN, đồng thời chúng tôi sẽ đưa ra một số đề xuất để thiết lập các mạng như vậy và các chương trình máy khách đi kèm.

VPN là gì?

Như đã rõ, VPN là một mạng ảo Mạng riêng tư với nhiều thiết bị được kết nối với nó. Bạn không nên tự lừa dối mình - việc kết nối hai hoặc ba chục thiết bị đầu cuối máy tính hoạt động đồng thời (có thể được thực hiện ở khu vực địa phương) thường không hoạt động. Điều này có những hạn chế trong thiết lập mạng hoặc thậm chí đơn giản là ở băng thông của bộ định tuyến chịu trách nhiệm gán địa chỉ IP và

Tuy nhiên, ý tưởng ban đầu về công nghệ kết nối không phải là mới. Họ đã cố gắng chứng minh điều đó trong một thời gian dài. Và nhiều người dùng hiện đại mạng máy tính Họ thậm chí không tưởng tượng rằng họ đã biết về điều này cả đời mà chỉ đơn giản là không cố gắng đi sâu vào bản chất của vấn đề.

Cách kết nối VPN hoạt động: nguyên tắc và công nghệ cơ bản

Để hiểu rõ hơn mình xin đưa ra ví dụ đơn giản nhất mà ai cũng biết đến con người hiện đại. Lấy đài phát thanh chẳng hạn. Xét cho cùng, về bản chất, nó là một thiết bị truyền (bộ dịch), bộ phận trung gian (bộ lặp) chịu trách nhiệm truyền và phân phối tín hiệu và thiết bị thu (bộ thu).

Một điều nữa là tín hiệu được phát đến tất cả người tiêu dùng và mạng ảo hoạt động có chọn lọc, chỉ kết hợp một số thiết bị nhất định. Xin lưu ý rằng cả trường hợp thứ nhất và trường hợp thứ hai đều không cần dây để kết nối các thiết bị truyền và nhận trao đổi dữ liệu với nhau.

Nhưng cũng có một số sự tinh tế ở đây. Thực tế là ban đầu tín hiệu vô tuyến không được bảo vệ, nghĩa là bất kỳ đài nghiệp dư nào có thiết bị hoạt động ở tần số thích hợp đều có thể nhận được nó. VPN hoạt động như thế nào? Vâng, giống hệt nhau. Chỉ trong trường hợp này, vai trò của bộ lặp được thực hiện bởi bộ định tuyến (bộ định tuyến hoặc modem ADSL) và vai trò của bộ thu được thực hiện bởi thiết bị cố định. thiết bị kết nối máy tính, máy tính xách tay hoặc thiết bị di động, được trang bị một mô-đun đặc biệt kết nối không dây(Wifi).

Với tất cả những điều này, dữ liệu đến từ nguồn ban đầu được mã hóa và chỉ sau đó, sử dụng bộ giải mã đặc biệt, mới được sao chép trên thiết bị cụ thể. Nguyên tắc giao tiếp qua VPN này được gọi là đường hầm. Và nguyên tắc này phù hợp nhất với kết nối di động, khi chuyển hướng xảy ra với một người đăng ký cụ thể.

Đường hầm mạng ảo cục bộ

Hãy hiểu cách VPN hoạt động ở chế độ đường hầm. Về cốt lõi, nó liên quan đến việc tạo một đường thẳng nhất định, chẳng hạn như từ điểm “A” đến điểm “B”, khi truyền dữ liệu từ nguồn trung tâm (bộ định tuyến có kết nối máy chủ), xác định tất cả Thiết bị mạngđược thực hiện tự động theo cấu hình định trước.

Nói cách khác, một đường hầm được tạo bằng cách mã hóa khi gửi dữ liệu và giải mã khi nhận. Hóa ra là không có người dùng nào khác cố gắng chặn loại dữ liệu này trong quá trình truyền sẽ có thể giải mã được nó.

Phương tiện thực hiện

Một trong những điều nhất công cụ mạnh mẽ Các hệ thống của Cisco cung cấp các kết nối như vậy, đồng thời đảm bảo an ninh. Đúng, một số quản trị viên thiếu kinh nghiệm có câu hỏi về lý do tại sao thiết bị VPN-Cisco không hoạt động.

Điều này chủ yếu là do cài đặt không chính xác và cài đặt trình điều khiển cho các bộ định tuyến như D-Link hoặc ZyXEL, yêu cầu tinh chỉnh chỉ vì chúng được trang bị tường lửa tích hợp.

Ngoài ra, bạn nên chú ý đến sơ đồ kết nối. Có thể có hai trong số đó: truy cập tuyến đường hoặc truy cập từ xa. Trong trường hợp đầu tiên, chúng ta đang nói về việc kết hợp một số thiết bị phân phối và trong trường hợp thứ hai, chúng ta đang nói về việc quản lý kết nối hoặc truyền dữ liệu bằng cách sử dụng truy cập từ xa.

Giao thức truy cập

Về mặt giao thức, ngày nay các công cụ cấu hình chủ yếu được sử dụng ở cấp độ PCP/IP, mặc dù các giao thức nội bộ của VPN có thể khác nhau.

VPN ngừng hoạt động? Nên xem một số tùy chọn ẩn. Ví dụ: bổ sung dựa trên công nghệ TCP giao thức PPP và PPTP vẫn thuộc về ngăn xếp giao thức TCP/IP, nhưng để kết nối, chẳng hạn, trong trường hợp sử dụng PPTP, bạn cần sử dụng hai địa chỉ IP thay vì một địa chỉ được yêu cầu. Tuy nhiên, trong mọi trường hợp, đường hầm liên quan đến việc truyền dữ liệu được bao bọc trong giao thức nội bộ gõ IPX hoặc NetBEUI và tất cả chúng đều được trang bị các tiêu đề dựa trên PPP đặc biệt để truyền dữ liệu liền mạch đến trình điều khiển mạng tương ứng.

Thiêt bị ổ cưng

Bây giờ chúng ta hãy xem xét một tình huống trong đó câu hỏi đặt ra là tại sao VPN không hoạt động. Rằng vấn đề có thể liên quan đến cài đặt không chính xác tất nhiên là thiết bị. Nhưng một tình huống khác cũng có thể phát sinh.

Điều đáng chú ý là chính các bộ định tuyến sẽ giám sát kết nối. Như đã đề cập ở trên, bạn chỉ nên sử dụng những thiết bị đáp ứng được thông số kết nối.

Ví dụ: các bộ định tuyến như DI-808HV hoặc DI-804HV có khả năng kết nối đồng thời tới 40 thiết bị. Đối với thiết bị ZyXEL, trong nhiều trường hợp, nó thậm chí có thể hoạt động thông qua mạng tích hợp hệ điều hành ZyNOS nhưng chỉ sử dụng chế độ dòng lệnh thông qua giao thức Telnet. Cách tiếp cận này cho phép bạn định cấu hình bất kỳ thiết bị nào có khả năng truyền dữ liệu tới ba mạng trong môi trường chung Ethernet với truyền tải lưu lượng IP và cũng có thể sử dụng công nghệ độc đáo Any-IP, được thiết kế để kích hoạt bảng tiêu chuẩn bộ định tuyến có lưu lượng chuyển tiếp làm cổng cho các hệ thống được cấu hình ban đầu để hoạt động trên các mạng con khác.

Phải làm gì nếu VPN không hoạt động (Windows 10 trở xuống)?

Điều kiện đầu tiên và quan trọng nhất là sự tương ứng giữa khóa đầu ra và khóa đầu vào (Khóa chia sẻ trước). Chúng phải giống nhau ở cả hai đầu đường hầm. Nó cũng đáng chú ý đến các thuật toán. mã hóa mật mã(IKE hoặc Manual) có hoặc không có chức năng xác thực.

Ví dụ: cùng giao thức AH (trong phiên bản tiếng Anh- Tiêu đề xác thực) chỉ có thể cung cấp ủy quyền mà không có khả năng sử dụng mã hóa.

Máy khách VPN và cấu hình của chúng

Đối với các máy khách VPN, ở đây không phải mọi thứ đều đơn giản. Hầu hết các chương trình dựa trên công nghệ như vậy đều sử dụng phương pháp tiêu chuẩn cài đặt. Tuy nhiên, có những cạm bẫy ở đây.

Vấn đề là cho dù bạn cài đặt máy khách như thế nào đi chăng nữa, nếu dịch vụ này bị tắt trong chính hệ điều hành thì sẽ chẳng có gì tốt đẹp cả. Đó là lý do tại sao trước tiên bạn cần kích hoạt các cài đặt này trong Windows, sau đó kích hoạt chúng trên bộ định tuyến (router) và chỉ sau đó mới bắt đầu thiết lập máy khách.

Bạn sẽ phải tạo một kết nối mới trong chính hệ thống thay vì sử dụng kết nối hiện có. Chúng tôi sẽ không tập trung vào vấn đề này vì quy trình này là tiêu chuẩn, nhưng trên chính bộ định tuyến, bạn sẽ phải truy cập cài đặt thêm(thường chúng nằm trong menu Loại kết nối WLAN) và kích hoạt mọi thứ liên quan đến máy chủ VPN.

Điều đáng chú ý là nó sẽ phải được cài đặt vào hệ thống như một chương trình đồng hành. Nhưng sau đó nó có thể được sử dụng mà không cần cài đặt thủ công, chỉ cần chọn vị trí gần nhất.

Một trong những phổ biến nhất và dễ sử dụng nhất là máy chủ-máy khách VPN có tên SecurityKISS. Chương trình đã được cài đặt, nhưng sau đó bạn thậm chí không cần phải vào cài đặt để đảm bảo liên lạc bình thường cho tất cả các thiết bị được kết nối với nhà phân phối.

Tình cờ là một gói khá nổi tiếng và phổ biến Kerio VPN Khách hàng không hoạt động. Ở đây bạn sẽ phải chú ý không chỉ đến bản thân hệ điều hành mà còn phải chú ý đến các thông số của chương trình máy khách. Theo quy định, việc nhập các tham số chính xác cho phép bạn loại bỏ vấn đề. Biện pháp cuối cùng, bạn sẽ phải kiểm tra cài đặt của kết nối chính và các giao thức TCP/IP được sử dụng (v4/v6).

Kết quả là gì?

Chúng tôi đã xem xét cách hoạt động của VPN. Về nguyên tắc, không có gì phức tạp trong việc kết nối hoặc tạo các mạng kiểu này. Khó khăn chính nằm ở việc thiết lập thiết bị cụ thể và thiết lập các thông số của nó, điều đáng tiếc là nhiều người dùng bỏ qua và cho rằng toàn bộ quá trình sẽ được chuyển sang tự động hóa.

Mặt khác, giờ đây chúng tôi quan tâm nhiều hơn đến các vấn đề liên quan đến công nghệ vận hành của máy ảo Mạng VPN, do đó bạn sẽ phải định cấu hình thiết bị, cài đặt trình điều khiển thiết bị, v.v. bằng cách sử dụng hướng dẫn riêng và khuyến nghị.