Vlan trên switch Cisco
Xem thêm:
Reset Password switch Cisco
Upload IOS Router Cisco trong chế độ ROMMON trên Packet Tracer
Như trong bài: một số giải pháp bảo mật mạng, tôi có đề xuất giải pháp VLAN (VLAN – Virtual Local Area Network), hôm nay mở đầu cho một chuỗi các bài viết cụ thể các giải pháp trên, tôi xin đi vào giải pháp VLAN
1. GIỚI THIỆU
Trước hết cần nhắc lại về mạng LAN. Mạng LAN là một mạng cục bộ (viết tắt của Local Area Network), được định nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá, trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.
Mô hình mạng không có VLAN là một mạng phẳng (flat network) vì nó hoạt động chuyển mạch ở Lớp 2. Một mạng phẳng là một miền quảng bá (broadcast), mỗi gói quảng bá từ một host nào đó đều đến được các host còn lại trong mạng. Mỗi cổng trong switch là một miền đụng độ (collision), vì vậy người ta sử dụng switch để chia nhỏ miền collision, nhưng nó không ngăn được miền quảng bá.
Vấn đề băng thông: trong một số trường hợp một mạng Campus ở lớp 2 có thể mở thêm một số tòa nhà cao tầng nữa, hay một số người dùng tăng lên thì nhu cầu sử dụng băng thông cũng tăng, do đó khả năng thực thi của mạng cũng giảm.
Vấn đề bảo mật: mỗi người dùng nào cũng có thể thấy các người dùng khác trong cùng một mạng phẳng (flat network), do đó rất khó bảo mật.
Vấn đề về cân bằng tải: trong mạng phẳng ta không thể thực hiện truyền trên nhiều đường đi, vì lúc đó mạng dễ bị vòng lặp, tạo nên cơn bão quảng bá (broadcast storm) ảnh hưởng đến băng thông của đường truyền. Do đó không thể chia tải (còn gọi là cân bằng tải).
Để giải quyết vấn đề trên, ta đưa ra giải pháp VLAN. VLAN (Virtual Local Area Network) được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…của công ty. Mỗi VLAN là một mạng con logic được tạo ra trên switch, còn gọi là đoạn hay miền quảng bá
(broadcast).
Như đã giới thiệu ở trên, VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai tạo ra miền quảng bá.
Để hiểu rõ hơn về VLAN ta cùng thực hiện một số ví dụ sau:
Ví dụ 1:
Ta có các lệnh chia VLAN:
Cách chia VLAN trên 1 Switch:
Bước 1: Kiểm tra thông tin Vlan mặc định trên Switch bằng lệnh Show Vlan
Trên hình ta thấy Vlan 1 là vlan mặc định, tất cả các Port từ port f0/1 tới f0/24 đều thuộc vlan này
Bước 2: Ta tạo thêm Vlan 2 trên Switch(config)#vlan 2
Có thể đặt tên cho Vlan này
Switch(config-vlan)#name ketoan
Switch(config-vlan)#exit
Bước 3:
Gán các port vào VLAN 2 vừa tạo
Switch(config)#int range f0/3 – f0/4
Switch(config-if-range)#switchport access vlan 2
Bước 4: Kiếm tra lại thông tin Vlan
Và như hình chúng ta thấy 2 port f0/3 và f0/4 đã thuộc VLAN 2
Bước 5:
Tiến hành đặt địa chỉ IP cho các PC như sơ đồ
Tại PC0 ta có thể ping thấy PC1 và không thể thấy PC2 và PC3, và cũng tương tự PC2 thấy PC3 không thấy PC0 và PC1
Ví dụ 2: Vlan trên nhiều Switch (trong sơ đồ 2 switch)
Trên sơ đồ trên SW1
ta có port 1-2 đang thuộc VLAN 1;
Port f0/3 và f0/4 đang thuộc VLAN 2
Trên Sw2 ta có
ta có port 1-2 đang thuộc VLAN 1;
Port f0/3 và f0/4 đang thuộc VLAN 2
2 Switch đang kết nối với nhau bới 2 dây f0/5 và f0/6 trên 2 đâu switch
Vậy để làm sao cho 2 pc của VLAN 1 trên SW1 có thể thông với 2 PC của VLAN1 trên SW2 và các PC của VLAN 2 cũng thông nhau
Theo nguyên lý là các port mà có cùng VLAN là có thể thông nhau, vậy ta ta có port f0/5 của 2 switch là đang thuộc VLAN 1 (mặc định) nên chắc chắn rằng các Port f0/1, f0/2, f0/5 trên 2 switch là có thể liên lạc với nhau vì cùng VLAN 1
Còn các port f0/3, f0/4 trên 2 switch không thể liên lạc được với nhau vì có f0/6 kết nối 2 switch lại khác VLAN (f0/6 thuộc VLAN 1; f0/3, f0/4 thuộc VLAN 2)
Vậy ta có thể đưa f0/6 trên 2 đầu switch vào VLAN 2 là các PC thuộc Vlan có thể thông nhau.
Như vậy ta có thể đạt được mục tiêu là các máy tính thuộc VLAN 1 thông với nhau và các PC thuộc VLAN 2 thông với nhau trên 2 switch.
Nhận xét:
Với phương pháp này ta thấy là để các VLAN trên nhiều switch thông nhau chúng ta cần rất nhiều dây kết nối giữa các switch, như mô hình trên ta cần tới 2 dây, nếu có 3 vlan ta cần 3 dây, có 10 vlan cần 10 dây…vậy phương pháp này giúp ta nắm vững nguyên lý chứ trên thực tế ta có công nghệ Trungking để giải quyết vấn đề này.
1.2 TRUNK
Một đường Trunk là một kết nối từ Switch này sang switch khác để hỗ trợ các VLAN trên các switch liên kết với nhau. Một đường được cấu hình Trunk sẽ gộp nhiều liên kết ảo trên một liên kết vật lý để chuyển tín hiệu từ các VLAN trên các switch với nhau dựa trên một đường cáp vật lý.
Mỗi port của Switch có một trong các mode sau: Access, Trunk, Dynamic; mặc định thì các port đều có mode access, mỗi port chỉ thuộc 1 vlan mà thôi. Khi port đang ở mode access thì chỉ cho phép các frame có vùng VLAN qua port mà thôi.
Như ví dụ 2 ta thấy dây kết nối f0/5 trên 2 switch chỉ cho VLAN 1 từ switch này sang switch khác; dây f0/6 nối 2 switch chỉ cho VLAN 2 từ switch này sang switch khác.
Ta cần dây có thể cho các VLAN khác đi qua thì port kết nối đó phải ở chế độ TRUNK
– Khi port có chế độ TRUNK thì port đó không thuộc vào VLAN khác.
– Lệnh chuyển port từ mode access sang mode trunk:
+ đối với swlayer2 thì chỉ cần:
Switch(config)#int f0/5
Switch(config-if)#switchport mode trunk
+ đối với switch layer 3:
Switch(config-if)#switchpor trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
Như vậy với mô hình trên ta chỉ cần một dây (ta lấy f0/5) và chuyển f0/5 sang mode trunk.
Sau khi chuyển sang mode trunk ta có thể xem thông tin về trunk bằng lệnh
Và bây giờ ta có thể kiểm tra sự thông nhau giữa các PC thuộc cùng số hiệu VLAN
Trong bài tới anninhmang sẽ giới thiệu các bạn các phương pháp kết nối các VLAN trên các Switch layer 3 và Router.
Lượt xem (15182)