Đang Tải...

Trang chủ
Tot Blog

Kiến thức & Tin công nghệ

VLAN là gì? Nâng cao hiệu suất và bảo mật mạng

19/06/2023

icon

VLAN (Virtual Local Area Network) đã trở nên quan trọng bởi nó đã  vượt qua các hạn chế vật lý của một LAN thông qua tính ảo của chúng, cho phép các tổ chức mở rộng mạng, phân đoạn chúng để tăng cường biện pháp bảo mật và giảm độ trễ mạng.

Mục lục

Mục lục

1. Mạng VLAN là gì? 

VLAN là một mạng tùy chỉnh được tạo từ một hoặc nhiều mạng cục bộ. Nó cho phép một nhóm thiết bị có sẵn trong nhiều mạng được kết hợp thành một mạng logic. Kết quả trở thành một mạng LAN ảo được quản lý giống như một mạng LAN vật lý. Tên đầy đủ là Virtual Local Area Network hay gọi là Mạng cục bộ ảo.

Một mạng cục bộ ảo hoạt động ở Layer 2 của mạng, cấp Ethernet. Nó phân vùng mạng được chuyển đổi đơn lẻ thành một tập hợp các mạng ảo chồng lên nhau có thể đáp ứng yêu cầu chức năng và bảo mật khác nhau. Việc chia tách này giúp tránh việc phải có nhiều mạng vật lý riêng biệt cho các trường hợp sử dụng khác nhau.

Mạng VLAN là gì? 

2. Vai trò của VLAN

Các kỹ sư mạng sử dụng mạng LAN ảo cho nhiều mục đích, bao gồm:

  • Cải thiện hiệu suất
  • Tăng cường bảo mật
  • Đơn giản hóa quản trị

Cải thiện hiệu suất

Mạng cục bộ ảo có thể cải thiện hiệu suất cho các thiết bị trên đó bằng cách giảm lưu lượng mà một điểm cuối nhất định nhìn thấy và xử lý. Nó chia các miền phát sóng, giảm số lượng các máy khác từ đó bất kỳ thiết bị nhất định nhìn thấy các gói phát sóng.

Ví dụ, nếu tất cả các điện thoại IP trên máy tính để bàn đặt trên một VLAN và tất cả các máy trạm đặt trên một VLAN khác, điện thoại sẽ không nhìn thấy bất kỳ lưu lượng phát sóng do máy trạm tạo ra và ngược lại. Mỗi thiết bị chỉ cần sử dụng tài nguyên mạng của mình cho lưu lượng liên quan.

Các kỹ sư cũng có thể xác định các quy tắc xử lý lưu lượng khác nhau cho mỗi mạng LAN ảo. Ví dụ, họ có thể đặt quy tắc ưu tiên lưu lượng video trên một mạng LAN ảo kết nối thiết bị phòng họp để đảm bảo hiệu suất của các thiết bị hội nghị truyền hình.

Tăng cường bảo mật

Phân vùng VLAN cũng có thể cải thiện bảo mật bằng cách cho phép một mức độ kiểm soát cao hơn về việc các thiết bị nào có quyền truy cập vào nhau. Ví dụ, nhóm mạng có thể hạn chế quyền truy cập quản lý vào thiết bị mạng hoặc các thiết bị IoT cho các mạng cục bộ ảo cụ thể.

Đơn giản hóa quản trị

Sử dụng để nhóm các điểm cuối cũng giúp quản trị viên nhóm các thiết bị cho mục đích quản trị thuần túy, phi kỹ thuật. Ví dụ, họ có thể đặt tất cả các máy tính kế toán trên một VLAN, tất cả các máy tính nhân sự trên một VLAN khác…

3. Phân loại VLAN

Có hai loại chính đó là static (port-based) và dynamic (use-based):

3.1. Static VLAN (tĩnh)

Các kỹ sư mạng tạo VLAN dựa trên cổng bằng cách gán các cổng trên switch mạng vào VLAN. Những cổng đó chỉ giao tiếp trên các LAN ảo đã được gán và mỗi cổng chỉ thuộc về một VLAN. Mặc dù VLAN dựa trên cổng đôi khi được gọi là VLAN tĩnh, nhưng quan trọng là nhớ rằng chúng không hoàn toàn tĩnh vì các mạng đó được gán cho cổng có thể thay đổi ngay lập tức, thủ công hoặc bằng tự động hóa mạng.

3.2. Dynamic VLAN (động)

VLAN được tạo ra dựa trên sử dụng bằng cách gán lưu lượng vào một cách động, dựa trên loại lưu lượng hoặc thiết bị tạo lưu lượng. Một cổng có thể được gán cho một LAN ảo dựa trên danh tính của thiết bị kết nối – như được xác định bằng chứng chỉ bảo mật – hoặc dựa trên các giao thức mạng đang sử dụng. Một cổng có thể liên kết với nhiều VLAN động. Thay đổi thiết bị được kết nối thông qua một cổng, hoặc thậm chí cách sử dụng của thiết bị hiện có, có thể làm thay đổi mạng đó được gán cho cổng.

4. Các trường hợp sử dụng VLAN

Một số VLAN có mục tiêu đơn giản và thực tế, như phân tách quyền truy cập máy in. Quản trị viên có thể thiết lập chúng để cho phép các máy tính trên bất kỳ VLAN nào cũng có thể nhìn thấy các máy in cũng nằm trên VLAN đó nhưng không nhìn thấy máy in ở ngoài mạng LAN ảo đó.

Các VLAN khác phục vụ mục đích phức tạp hơn. Ví dụ, các máy tính trong bộ phận ngân hàng bán lẻ không thể tương tác trực tiếp với các máy tính trong các bộ phận giao dịch. Thiết lập các VLAN riêng cho các bộ phận là một cách mà các kỹ sư mạng có thể thực hiện việc chia tách như vậy.

5. Cách VLAN hoạt động

Xác định ID

Một VLAN được xác định trên switch mạng bằng một VLAN ID. Mỗi cổng trên switch có thể được gán một hoặc nhiều VLAN ID và sẽ thuộc về mặc định nếu không có VLAN khác được gán. Mỗi VLAN cung cấp quyền truy cập cấp liên kết dữ liệu cho tất cả các máy chủ kết nối đến cổng switch được cấu hình với VLAN ID tương ứng.

VLAN ID được chuyển đổi thành một nhãn VLAN, một trường 12 bit trong dữ liệu tiêu đề của mỗi khung Ethernet gửi đến mạng LAN ảo đó. Do độ dài nhãn chỉ là 12 bit, nên có thể định nghĩa tối đa 4.096 VLAN trong mỗi miền chuyển mạch. Việc gắn nhãn VLAN được định nghĩa bởi IEEE trong tiêu chuẩn 802.1Q.

Thêm nhãn

Khi một khung Ethernet được nhận từ một máy chủ được kết nối, nó không có nhãn VLAN. Switch sẽ thêm nhãn VLAN vào khung đó. Trong một VLAN tĩnh, switch sẽ chèn nhãn liên quan đến VLAN ID của cổng vào khung. Trong một VLAN động, nó sẽ chèn nhãn liên quan đến ID của thiết bị đó hoặc loại lưu lượng mà nó tạo ra.

Các switch chuyển tiếp các khung có nhãn đến địa chỉ điều khiển truy cập phương tiện đích, chỉ chuyển tiếp đến các cổng liên quan đến VLAN đó. Lưu lượng phát sóng, unicast không xác định và multicast được chuyển tiếp đến tất cả các cổng trong mạng cục bộ ảo. Các liên kết trunk giữa các switch biết về các VLAN trải dọc các switch, chấp nhận và chuyển tiếp tất cả lưu lượng cho bất kỳ mạng LAN ảo nào được sử dụng trên cả hai phía của trunk. Khi một khung đạt đến cổng switch đích, nhãn VLAN được loại bỏ trước khi khung được truyền đến thiết bị đích.

Sử dụng STP

Giao thức Spanning Tree Protocol (STP) được sử dụng để tạo ra mạng tuyến tính không lặp trong mỗi miền Layer 2. Một phiên bản STP có thể được sử dụng, cho phép các định hình Layer 2 khác nhau. Một đa phiên bản STP cũng có thể được sử dụng để giảm thiểu chi phí STP nếu các định hình là giống nhau giữa nhiều VLAN.

6. Sự khác biệt giữa LAN và VLAN

LANVLAN
Có thể được định nghĩa là một nhóm các thiết bị máy tính và ngoại vi được kết nối trong một khu vực giới hạn.Có thể được định nghĩa là một mạng tùy chỉnh được tạo ra từ một hoặc nhiều mạng cục bộ.
Tên đầy đủ: Local Area NetworkTên đầy đủ: Virtual Local Area Network
Độ trễ caoĐộ trễ thấp
Chi phí caoChi phí thấp
Gói mạng được gửi đến từng thiết bịGói mạng được gửi đến một miền phát sóng cụ thể
Sử dụng vòng lặp và giao thức FDDISử dụng giao thức ISP và VTP
Bảng so sánh khái quát
Sự khác biệt giữa LAN và VLAN

Đọc thêm về mạng LAN tại:

Mạng LAN là gì? Lợi ích trong kết nối các thiết bị

7. Nhược điểm của VLAN

Ưu điểm lớn là giúp kiểm soát lưu lượng phát sóng, tăng cường bảo mật, dễ dàng quản lý và cải thiện hiệu suất. Tuy nhiên, chúng cũng có một số nhược điểm.

Giới hạn của 4.096 VLAN trên mỗi miền chuyển đổi 

Một nhược điểm của loại mạng này trong một trung tâm dữ liệu hiện đại hoặc hạ tầng đám mây là giới hạn của 4.096 VLAN trong mỗi miền chuyển đổi. Một phân đoạn mạng đơn có thể chứa hàng ngàn hệ thống và hàng trăm hoặc hàng nghìn tổ chức khác nhau, mỗi tổ chức có thể cần hàng chục hoặc hàng trăm mạng LAN ảo.

Để khắc phục hạn chế này, đã tạo ra các giao thức khác như Virtual Extensible LAN, Network Virtualization using Generic Routing Encapsulation và Generic Network Virtualization Encapsulation. Chúng hỗ trợ nhãn lớn hơn, cho phép định nghĩa nhiều LAN ảo hơn và khả năng gửi khung Layer 2 trong các gói tin Layer 3.

Quản lý cấu trúc Spanning Tree 

Một nhược điểm khác là khi nó quá nhiều và lớn, mạng có thể gặp khó khăn trong việc quản lý cấu trúc Spanning Tree cần thiết để ngăn chặn vòng lưu lượng. Cách đơn giản nhất để khắc phục điều này là loại bỏ các liên kết dư thừa khỏi mạng. Tuy nhiên, điều đó dẫn đến mạng dễ bị hỏng ở một điểm duy nhất nếu một liên kết dự phòng được loại bỏ.

Lời kết

Trong tình hình mạng lưới ngày càng phức tạp và tăng cường, Virtual Local Area Networks đã trở thành một công nghệ quan trọng để vượt qua những hạn chế của mạng khu vực cục bộ truyền thống. Nó cho phép chúng ta xây dựng mạng ảo linh hoạt, có thể mở rộng và phân đoạn mạng để tăng cường bảo mật và hiệu suất. Từ việc kiểm soát lưu lượng mạng, bảo vệ an ninh, đến việc tạo ra môi trường quản lý mạng dễ dàng, nó đã trở thành công cụ quan trọng trong việc xây dựng và điều khiển mạng hiện đại.

Đọc thêm các bài viết tại: https://tothost.vn/category/kien-thuc/

TelegramCommunity
scroll top
Thông báo
Đóng