1

Virtual LAN(VLAN)

GV: Trần Minh Trí

Môn: Thiết kế mạng máy tính

2

Mục đích

Tìm giải pháp cho các vấn đề trong mạng phẳng( Flat network) Băng thông Bảo mật

Thế nào là VLAN ? Lợi ích của VLAN

3

Đây là Flat Network

5.1 Đặt vấn đề Nào, các bạn hãy nhìn vào hình bên dưới.

`

`

`

`

4

Flat Network

`

`

`

`

Đây được gọi là flat network bởi vì mạng hoạt động hòan tòan Đây được gọi là flat network bởi vì mạng hoạt động hòan tòan trên lớp 2 của switchtrên lớp 2 của switch

5

Flat Network

Một flat network là một miền broadcast, mỗi gói broadcast từ một

host nào đều đến được tất cả các host còn lại trong mạng. Cho nên có một số vấn đề xãy ra đối với mạng flat network.

6

Vấn đề với Flat Network

Vấn đề về băng thông.

Vấn đề về bảo mật.

7

Vấn đề về băng thông.

trong một số trường hợp một mạng vừa và nhỏ có thể mở rộng thêm một số building nữa.

Hay số user tăng lên thì nhu cầu sử dụng băng thông cũng tăng.

do đó băng thông cũng như khả năng thực thi của mạng sẽ giảm.

`

`

`

`

8

Vấn đề về bảo mật.

Bởi vì user nào cũng có thể thấy các user khác trong cùng

một flat network .

Do đó rất khó để bảo mật Nhìn vào hình bên dưới, chúng ta thấy rằng rất khó cấm máy D

truy cập dữ liệu từ file server vì chúng cùng một mạng.

`

`

`

`

PC A

PC B

PC C

PC D

File Server

9

Có nhiều giải pháp đưa ra nhưng Virtual LAN (VLAN)

được chọn

10

5.2 VLAN là gì?

VLAN viết tắt từ cụm từ tiếng anh Virtual Local Area Network Một VLAN là một mạng luận lý bao gồm một nhóm các máy tính được kết

nối chung với nhau trong một vùng quảng bá

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

11

VLAN là gì ?

VLAN thu hẹp trên một phần của thiết bị chuyển mạch Switch hoặc dàn trải trên nhiều thiết bị chuyển mạch liên kết với nhau .

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

12

VLAN là gì ?

Một số switch có hỗ trợ thêm tính năng VLAN nhờ đó có thể định nghĩa một hay nhiều VLAN trong mạng.

Khi một switch hỗ trợ nhiều VLAN, khung quảng bá trong một VLAN

sẽ không xuất hiện trên các VLAN khác.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

13

VLAN là gì ?

Chúng hoạt động giống như đang kết nối trên cùng một đường truyền mạng mặc dù trên thực tế vị trí địa lý của chúng có thể được đặt tại các vị trí xa nhau hay kết nối trên các phân khúc (segment)

mạng khác nhau.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

14

VLAN là gì ?

Chúng ta chỉ việc tạo ra 2 cái tên VLAN 10 và VLAN 90 cho mạng cục bộ mới dựa trên mạng hiện hữu và không bổ xung thêm đường truyền mới, cách làm như vậy gọi là ảo.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

15

5.3 Lợi ích của VLAN

Để thấy rõ lợi ích của Vlan, ta sẽ dùng VLan để giải quyết các vấn đề đặt ra của phần 1.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

16

5.3.1VLAN giải quyết vấn đề băng thông.

VLAN chia mạng LAN thành nhiều đoạn nhỏ , mỗi đoạn đó là một vùng quảng bá.

Khi có gói tin quảng bá (broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng.

Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

17

5.3.2 Dùng Vlan giải quyết vấn đề bảo mật.

Trong trường hợp không sử dụng router: Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau như thế đã làm tăng cấp độ bảo mật lên

một mức .

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

18

5.3.2 Dùng Vlan giải quyết vấn đề bảo mật.

Trong trường hợp sử dụng router nối các Vlan ta cấu hình danh sách truy cập cho route để tăng cường bảo mật mạng.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

Router on a stick

1.1.1.2

2.2.2.2

3.3.3.3

VLAN 30

SanJose

19

5.3.2 Dùng Vlan giải quyết vấn đề bảo mật.

Bây giờ chúng ta không cho PC A (1.1.1.2) truy cập tới File Server (3.3.3.3) và cho phép PC Y (2.2.2.2). Ta vào router cấu hình access list permit ip address 2.2.2.2 and deny ip address 1.1.1.2 to File Server (3.3.3.3)

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

Router on a stick

1.1.1.2

2.2.2.2

3.3.3.3

VLAN 30

SanJose

20

5.3.2 Dùng Vlan giải quyết vấn đề bảo mật.

Chúng ta không thể làm việc này với flat network. Cho nên vấn đề bảo mật được giải quyết.

PC A

PC B

PC C

PC D

File Server

`

``

PC X

PC Y

VLAN 90

VLAN 10

Router on a stick

1.1.1.2

2.2.2.2

3.3.3.3

VLAN 30

SanJose

21

5.3.3 Lợi ích quản trị mạng khi dùng VLan.

Việc thêm, bớt, di huyển, hay thay đổi nhóm làm việc của một hay nhiều thiết bị mạng bằng VLAN sẽ được thực hiện một cách dễ dàng, nhanh chóng, và linh hoạt hơn rất nhiều mà không cần phải can thiệp vật lý vào các đường kết nối của chúng .

Cũng như có thể phân chia các máy tính theo các nhóm chức năng hay theo một đặc điểm nào đó mà không bị giới hạn bởi các yếu tố liên quan đến vị trí đặt các máy tính và

thiết bị đó.

22

5.4 Các kiểu VLAN

Port-based Mac address Protocol based

23

Port-based

Đây là phương pháp cấu hình chung nhất Cổng được gán độc lập, hay xuyên qua một

hoặc nhiều switch Dễ sử dụng

24

Mac address

Ít sử dụng Mỗi Mac address phải được khai báo trong

switch và được khai báo trong mỗi cá nhân Khó quản trị, khắc phục sự cố và quản lý

25

Protocol based

Cấu hình giống như Mac address nhưng thay vào đó là sử dụng địa chỉ IP

26

Ưu điểm Port based

Mô hình này tăng cường tối đa hiệu suất của chuyển tải thông tin bởi vì:

Người sử dụng được gán dựa trên cổng VLANs được quản lý một cách dễ dàng Tăng cường tối đa tính an toàn của VLAN Các gói tin không rò rỉ sang các vùng khác

27

Cấu hình

configure terminal interface fastEthernet 0/0 no shutdown interface fastEthernet 0/0.1 encapsulation isl #vlan ip address x.x.x.x y.y.y.y CTRL-Z show interface

28

29

VLAN 1

VLAN 2

VLAN 3

Switch 1

A

B

C

Router

D

30

VLAN với ISL Trunks

31

SWITCH 1: C2912XL

Trunk1: 1

VLAN1: 2-8

VLAN2: 9-12

SWITCH 2: C2950-24

Trunk1: 1

Trunk2: 9

Trunk3: 17

VLAN1: 2-8

VLAN2: 10-16

VLAN3: 18-24

SWITCH 3: C2912XL

Trunk3: 1

VLAN1: 2-8

VLAN3: 9-12

ROUTER

F0/0

Ethernet EthernetEthernet Ethernet Ethernet

Trunk 3

Trunk 2

VTP ClientSWITCH_3SWITCH_2

172.16.1.0/24 172.16.3.0/24172.16.1.0/24172.16.2.0/24

172.16.3.0/24

172.16.1.20/24 172.16.3.20/24172.16.1.30/24 172.16.2.30/24 172.16.3.30/24

F0/0.1: 172.16.1.1/24F0/0.2: 172.16.2.1/24F0/0.3: 172.16.3.1/24

ROUTER: C2620

VLAN1: F0/0.1

VLAN2: F0/0.2

VLAN3: F0/0.3

32

ROUTER

F0/0

Ethernet EthernetEthernet Ethernet Ethernet

Trunk 3

Trunk 2

VTP server VTP Client

Ethernet Ethernet

172.16.1.0/24 172.16.2.0/24

VTP client

Trunk 1

SWITCH_3SWITCH_2SWITCH_1

172.16.1.0/24 172.16.3.0/24172.16.1.0/24

172.16.2.0/24

172.16.3.0/24

172.16.1.10/24 172.16.2.10/24 172.16.1.20/24 172.16.3.20/24172.16.1.30/24 172.16.2.30/24 172.16.3.30/24

F0/0.1: 172.16.1.1/24F0/0.2: 172.16.2.1/24F0/0.3: 172.16.3.1/24

SWITCH 1: C2912XL

Trunk1: 1

VLAN1: 2-8

VLAN2: 9-12

SWITCH 2: C2950-24

Trunk1: 1

Trunk2: 9

Trunk3: 17

VLAN1: 2-8

VLAN2: 10-16

VLAN3: 18-24

SWITCH 3: C2912XL

Trunk3: 1

VLAN1: 2-8

VLAN3: 9-12

ROUTER: C2620

VLAN1: F0/0.1

VLAN2: F0/0.2

VLAN3: F0/0.3