Mạng lan ảo hay VLAN là gì
Về mặt kỹ thuật, VLAN (mạng cục bộ ảo) còn được gọi là mạng LAN ảo. Đây là công nghệ có thể phân vùng và cô lập một cách hợp lý một hoặc nhiều mạng LAN vật lý thành nhiều miền quảng bá. Và mỗi miền quảng bá được coi là một VLAN. Khi đó, chỉ các thiết bị trong cùng một VLAN mới có thể giao tiếp với nhau.
Tại sao lại sử dụng VLAN? Trước VLAN, mạng Lan (mạng cục bộ) có một miền quảng bá duy nhất trên mạng được chỉ định. Cấu trúc liên kết ứng dụng LAN dưới đây cho thấy để giao tiếp với máy chủ B, máy chủ A sẽ phát yêu cầu ARP (giao thức phân giải địa chỉ) của nó tới tất cả các thiết bị chuyển mạch và các máy chủ khác trên cùng một mạng cục bộ.
Tuy nhiên, khi mạng bị tấn công bởi các máy chủ và thiết bị chuyển mạch, nó có khả năng dẫn đến các cơn bão phát sóng. Do đó, CPU của máy chủ và băng thông của toàn mạng sẽ bị tiêu tốn rất nhiều. Để giải quyết điều đó, VLAN xuất hiện.
Bằng cách cấu hình VLAN, bạn có thể chia mạng thành các miền quảng bá khác nhau. Các gói được gửi từ các máy trạm trên một đoạn mạng được truyền bởi các Bridges hoặc switch không chuyển tiếp xung đột mà phát tới từng thiết bị mạng. Điều này đơn giản hóa nhiều vấn đề phức tạp tiềm ẩn do mạng Lan gây ra, bao gồm lưu lượng mạng quá tải và xung đột. Bằng cách này, tài nguyên mạng và băng thông sẽ được tiết kiệm đáng kể, cải thiện tính linh hoạt và hiệu suất của mạng.
Các loại VLAN
Thông thường, có năm loại VLAN cơ bản: VLAN dựa trên giao diện, VLAN dựa trên địa chỉ MAC, VLAN dựa trên mạng con IP, VLAN dựa trên giao thức và VLAN dựa trên chính sách.
VLAN dựa trên cổng
VLAN dựa trên cổng, còn được gọi là VLAN dựa trên giao diện , là một công nghệ cho phép quản trị viên mạng gán các VLAN theo cách thủ công cho mỗi cổng chuyển mạch. Nó phù hợp với một mạng quy mô nhỏ mà không cần phải thay đổi cơ sở hạ tầng mạng thường xuyên.
VLAN dựa trên địa chỉ MAC
VLAN dựa trên địa chỉ MAC đề cập đến việc gán các VLAN theo địa chỉ MAC nguồn của các khung. Áp dụng công nghệ này có thể cải thiện đáng kể tính linh hoạt và an ninh mạng. Ngay cả khi người dùng thường xuyên thay đổi vị trí thực của họ, quản trị viên mạng sẽ không cần phải cấu hình lại các VLAN.
IP VLAN dựa trên mạng con
VLAN dựa trên mạng con IP có thể gán các VLAN theo mạng con IP của thiết bị. Nó sẽ là một giải pháp hiệu quả cho một mạng công cộng với nhu cầu cao hơn về tính di động và quản lý được đơn giản hóa và yêu cầu thấp hơn về bảo mật. Với công nghệ này, người dùng có thể tự động tham gia một VLAN ID mới sau khi IP của họ thay đổi.
VLAN dựa trên giao thức
Được áp dụng cho một mạng có nhiều giao thức, VLAN dựa trên giao thức có thể gán các VLAN theo kiểu giao thức và định dạng đóng gói của khung.
VLAN dựa trên chính sách
VLAN dựa trên chính sách có thể được mô tả như một sự kết hợp của những điều trên. Nó có thể gán các VLAN theo các chính sách như sự kết hợp của địa chỉ MAC và địa chỉ IP. Bằng sự kết hợp của các chính sách nhằm thực hiện kiểm soát truy cập liên VLAN, tính linh hoạt và an ninh mạng sẽ được tăng cường đáng kể.
VLAN hoạt động như thế nào?
Giao tiếp nội bộ VLAN
Truyền thông nội bộ VLAN đề cập đến giao tiếp của người dùng trong cùng một phân đoạn mạng và VLAN. Nói chung, loại VLAN này được áp dụng thành hai kịch bản: giao tiếp nội bộ VLAN thông qua cùng một thiết bị và giao tiếp nội bộ VLAN thông qua nhiều thiết bị. Cho dù là loại nào, toàn bộ quá trình truyền tải chủ yếu trải qua hai bước sau:
- Yêu cầu ARP được gửi từ máy chủ nguồn: Trước khi gửi, máy chủ nguồn sẽ so sánh địa chỉ IP của nó với chỉ định. Nếu máy chủ nguồn nhận thấy rằng chúng nằm trong cùng một phân đoạn mạng, nó sẽ lấy địa chỉ MAC của máy chủ đích và điền địa chỉ MAC trường đích của khung bằng địa chỉ MAC thu được. Ngược lại, gói quảng bá cần phải được gửi đến cổng. Địa chỉ MAC của cổng sẽ được máy chủ nguồn sử dụng làm địa chỉ MAC đích của nó.
- Thêm và xóa các thẻ VLAN trong quá trình giao tiếp giữa các thiết bị: Khi các khung được xử lý trong một bộ chuyển mạch, các thẻ VLAN cần được mang theo.
Giao tiếp giữa các VLAN
Vì các gói quảng bá bị giới hạn trong cùng một VLAN, các máy chủ trong các VLAN khác nhau không thể giao tiếp trực tiếp với nhau trong lớp 2. Do đó, định tuyến giữa các VLAN có thể chuyển tiếp lưu lượng mạng từ VLAN này sang VLAN khác được sử dụng để giải quyết vấn đề này. Có ba tùy chọn có sẵn để cho phép định tuyến giữa các VLAN khác nhau:
Định tuyến giữa các VLAN với các giao diện vật lý riêng biệt
Cách định tuyến giữa các VLAN này là kết nối một cổng bổ sung từ mỗi VLAN với một bộ định tuyến. Mỗi VLAN cần một cổng vật lý trên bộ định tuyến, điều này gây ra chi phí lớn cho bộ định tuyến. Do đó, loại định tuyến liên VLAN này ít được sử dụng do chi phí cao và khả năng mở rộng kém.
Định tuyến liên VLAN trên thiết bị định tuyến
Loại định tuyến VLAN này cho phép một giao diện vật lý duy nhất đạt được chuyển tiếp lưu lượng giữa các VLAN. Sau khi định cấu hình kết nối giữa bộ định tuyến và bộ chuyển mạch dưới dạng liên kết trung kế, bộ định tuyến có thể nhận các khung có thẻ VLAN trên giao diện trung kế từ bộ chuyển mạch được kết nối và chuyển tiếp các gói được định tuyến đến các đích được gắn thẻ VLAN thông qua cùng một giao diện.
Định tuyến liên VLAN với công tắc lớp 3
Phương pháp cuối cùng là sử dụng thiết bị chuyển mạch lớp 3 có chức năng định tuyến. Người dùng cần tạo SVI (Switch Virtual Interface) cho mỗi VLAN và định cấu hình địa chỉ IP cho nó. Địa chỉ IP này có thể được sử dụng cho máy tính làm cổng mặc định của chúng. Theo cách đó, các gói từ một VLAN sẽ được gửi đến SVI để được chuyển đến các VLAN khác để thực hiện giao tiếp giữa các VLAN.
Ưu điểm của VLAN
VLAN Giảm kích thước của các miền phát sóng.
Bằng cách giới hạn các miền quảng bá, các trạm cuối trên một VLAN bị ngăn không cho nghe hoặc nhận các chương trình phát sóng không dành cho chúng. Hơn nữa, nếu một bộ định tuyến không được kết nối giữa các VLAN, các trạm cuối của một VLAN không thể giao tiếp với các trạm cuối của các VLAN khác. Việc giới hạn các miền quảng bá trên mạng làm giảm đáng kể lưu lượng truy cập.
VLAN có thể tăng cường an ninh mạng.
Các ranh giới ảo do VLAN tạo ra chỉ có thể được vượt qua bởi các bộ định tuyến. Do đó, quyền truy cập vào VLAN có thể bị hạn chế bằng cách sử dụng các biện pháp bảo mật dựa trên bộ định tuyến tiêu chuẩn. Ngoài ra, VLANS có thể tăng cường bảo mật mạng thông qua lọc gói tin. Quản trị viên mạng kiểm soát từng cổng và bất kỳ tài nguyên nào mà họ cho phép sử dụng, tách các nhóm có dữ liệu nhạy cảm khỏi phần còn lại của mạng và giảm nguy cơ rò rỉ thông tin bí mật.
VLAN dễ quản lý.
VLAN giúp quản lý mạng dễ dàng hơn vì những người dùng có yêu cầu mạng tương tự chia sẻ cùng một VLAN. Khi một công tắc mới được cung cấp, bạn có thể nhanh chóng thêm hoặc thay đổi các nút mạng trên trang quản lý web của công tắc. Tất cả các chính sách và thủ tục được cấu hình cho một VLAN cụ thể được thực hiện khi các cổng được cấp phát. Nhân viên CNTT cũng có thể dễ dàng xác định chức năng của một VLAN bằng cách đặt cho nó một cái tên thích hợp.
VLAN giúp dễ dàng quản lý các thiết bị khác.
VLAN đơn giản hóa việc quản lý dự án và ứng dụng, đồng thời tổng hợp người dùng và thiết bị mạng để hỗ trợ nhu cầu kinh doanh hoặc địa lý. Có các khả năng riêng biệt giúp dễ dàng quản lý các dự án hoặc sử dụng các ứng dụng chuyên dụng và các thiết bị có thể được nhóm một cách hợp lý dựa trên chức năng thay vì vị trí.
Thiên Tân Telecom - Giải pháp viễn thông chuyên nghiệp
