Vlan ở khắp mọi nơi. Bạn có thể tìm thấy chúng trong hầu hết các tổ chức với một mạng được cấu hình đúng. Trong trường hợp không rõ ràng, Vlan là viết tắt của, Mạng ảo khu vực địa phương ảo, và họ có mặt ở bất kỳ mạng hiện đại nào ngoài kích thước của một ngôi nhà nhỏ hoặc mạng văn phòng rất nhỏ.
Có một vài giao thức khác nhau, nhiều giao thức cụ thể theo nhà cung cấp, nhưng ở cốt lõi của nó, mọi Vlan đều thực hiện nhiều điều tương tự và lợi ích của quy mô Vlan khi mạng của bạn phát triển về quy mô và độ phức tạp của tổ chức.
Những lợi thế đó là một phần lớn của lý do tại sao các Vlan được phụ thuộc rất nhiều bởi các mạng chuyên nghiệp ở mọi quy mô. Trên thực tế, sẽ rất khó để quản lý hoặc mở rộng mạng lưới nếu không có chúng.
Lợi ích và khả năng mở rộng của Vlan giải thích lý do tại sao chúng trở nên phổ biến trong môi trường mạng hiện đại. Sẽ rất khó để quản lý hoặc mở rộng các mạng thậm chí phức tạp vừa phải với người dùng Vlan.
Vlan là gì?
đường dẫn nhanh
- Vlan là gì?
- Làm thế nào nó hoạt động
- Vlan so với mạng con
- Mạng con địa chỉ IP
- Vlan
- Vlan so với mạng con
- Ưu điểm của Vlan
- Vlan tĩnh so với động
- Vlan tĩnh
- Vlan động
- Thiết lập Vlan
- Những gì bạn cần
- Bộ định tuyến
- Công tắc được quản lý
- Thẻ giao diện mạng máy khách (NIC)
- Cấu hình cơ bản
- Thiết lập Bộ định tuyến
- Cấu hình các công tắc
- Kết nối khách hàng
- Những gì bạn cần
- Vlan tại nhà
Được rồi, vì vậy bạn biết từ viết tắt, nhưng chính xác Vlan là gì? Khái niệm cơ bản nên quen thuộc với bất kỳ ai đã làm việc với hoặc sử dụng máy chủ ảo.
Hãy suy nghĩ một chút về cách các máy ảo hoạt động. Nhiều máy chủ ảo nằm trong một phần cứng vật lý đang chạy hệ điều hành và trình ảo hóa để tạo và chạy các máy chủ ảo trên một máy chủ vật lý. Thông qua ảo hóa, bạn có thể biến một máy tính vật lý thành nhiều máy tính ảo có sẵn cho mỗi tác vụ và người dùng riêng biệt.
Mạng LAN ảo hoạt động theo cách tương tự như máy chủ ảo. Một hoặc nhiều thiết bị chuyển mạch được quản lý chạy phần mềm (tương tự như phần mềm hypanneror) cho phép các công tắc tạo ra nhiều thiết bị chuyển mạch ảo trong một mạng vật lý.
Mỗi chuyển đổi ảo là mạng riêng của nó. Sự khác biệt chính giữa máy chủ ảo và mạng LAN ảo là mạng LAN ảo có thể được phân phối trên nhiều phần cứng vật lý với một cáp được chỉ định gọi là đường trục.
Làm thế nào nó hoạt động
Hãy tưởng tượng rằng bạn đang điều hành một mạng lưới cho một doanh nghiệp nhỏ đang phát triển, thêm nhân viên, chia thành các bộ phận riêng biệt và trở nên phức tạp và có tổ chức hơn.
Để đáp ứng với những thay đổi này, bạn đã nâng cấp lên bộ chuyển mạch 24 cổng để chứa các thiết bị mới trên mạng.
Bạn có thể cân nhắc việc chỉ chạy cáp ethernet cho mỗi thiết bị mới và gọi tác vụ đã hoàn thành, nhưng vấn đề là việc lưu trữ tệp và dịch vụ đang được sử dụng bởi mỗi bộ phận phải được tách biệt. Vlan là cách tốt nhất để làm điều đó.
Trong giao diện web của switch, bạn có thể cấu hình ba Vlan riêng biệt, một cho mỗi bộ phận. Cách đơn giản nhất để chia chúng là số cổng. Bạn có thể gán Cổng 1-8 cho bộ phận đầu tiên, gán các cổng 9-16 cho bộ phận thứ hai và cuối cùng gán các cổng 17-24 g cho bộ phận cuối cùng. Bây giờ bạn đã tổ chức mạng vật lý của mình thành ba mạng ảo.
Phần mềm trên switch có thể quản lý lưu lượng giữa các máy khách trong mỗi Vlan. Mỗi Vlan hoạt động như một mạng riêng và không thể tương tác trực tiếp với các Vlan khác. Giờ đây, mỗi bộ phận đều có mạng nhỏ hơn, ít lộn xộn hơn và hiệu quả hơn và bạn có thể quản lý tất cả chúng thông qua cùng một phần cứng. Đây là một cách rất hiệu quả và tiết kiệm chi phí để quản lý mạng.
Khi bạn cần các phòng ban để có thể tương tác, bạn có thể khiến họ làm như vậy thông qua bộ định tuyến trên mạng. Bộ định tuyến có thể điều chỉnh và kiểm soát lưu lượng giữa các Vlan và thực thi các quy tắc bảo mật mạnh mẽ hơn.
Trong nhiều trường hợp, các phòng ban sẽ cần phải làm việc cùng nhau và tương tác. Bạn có thể thực hiện giao tiếp giữa các mạng ảo thông qua bộ định tuyến, đặt quy tắc bảo mật để đảm bảo bảo mật và quyền riêng tư phù hợp của từng mạng ảo.
Vlan so với mạng con
Vlan và mạng con thực sự khá giống nhau và phục vụ các chức năng tương tự nhau. Cả mạng con và Vlan đều phân chia mạng và miền phát sóng. Trong cả hai trường hợp, tương tác giữa các phân khu chỉ có thể xảy ra thông qua bộ định tuyến.
Sự khác biệt giữa chúng đến từ hình thức thực hiện và cách chúng thay đổi cấu trúc mạng.
Mạng con địa chỉ IP
Các mạng con tồn tại ở Lớp 3 của Mô hình OSI, lớp mạng. Mạng con là cấu trúc cấp mạng và được xử lý bằng bộ định tuyến, tổ chức xung quanh địa chỉ IP.
Bộ định tuyến khắc các dải địa chỉ IP và đàm phán các kết nối giữa chúng. Điều này đặt tất cả sự căng thẳng của quản lý mạng trên bộ định tuyến. Các mạng con cũng có thể trở nên phức tạp khi mạng của bạn tăng quy mô và độ phức tạp.
Vlan
Các Vlan tìm nhà của họ trên Lớp 2 của Mô hình OSI. Mức liên kết dữ liệu gần với phần cứng và ít trừu tượng hơn. Mạng LAN ảo mô phỏng phần cứng đóng vai trò là thiết bị chuyển mạch cá nhân.
Tuy nhiên, mạng LAN ảo có thể phá vỡ các miền quảng bá mà không cần kết nối lại với bộ định tuyến, loại bỏ một số gánh nặng quản lý khỏi bộ định tuyến.
Bởi vì Vlan là mạng ảo của riêng họ, họ phải hành xử hơi giống như họ có bộ định tuyến tích hợp. Kết quả là, Vlan chứa ít nhất một mạng con và có thể hỗ trợ nhiều mạng con.
Vlan phân phối tải mạng, và. nhiều thiết bị chuyển mạch có thể xử lý lưu lượng trong các Vlan mà không liên quan đến bộ định tuyến, tạo nên một hệ thống hiệu quả hơn.
Ưu điểm của Vlan
Đến bây giờ, bạn đã thấy một vài lợi thế mà Vlan mang lại cho bảng. Chỉ nhờ vào những gì họ làm, Vlan có một số thuộc tính có giá trị.
Vlan giúp bảo mật. Việc ngăn chặn lưu lượng truy cập giới hạn mọi cơ hội truy cập trái phép vào các phần của mạng. Nó cũng giúp ngăn chặn sự lây lan của phần mềm độc hại, nếu bất kỳ ai tìm được đường vào mạng. Những kẻ xâm nhập tiềm năng không thể sử dụng các công cụ như Wireshark để phát hiện các gói trên bất kỳ nơi nào ngoài mạng LAN ảo mà chúng đang sử dụng, cũng hạn chế mối đe dọa đó.
Hiệu quả mạng là một vấn đề lớn. Nó có thể tiết kiệm hoặc chi phí một doanh nghiệp hàng ngàn đô la để thực hiện Vlan. Phá vỡ các miền phát sóng làm tăng đáng kể hiệu quả mạng bằng cách giới hạn số lượng thiết bị liên quan đến truyền thông cùng một lúc. Vlan giảm nhu cầu triển khai bộ định tuyến để quản lý mạng.
Thông thường, các kỹ sư mạng chọn xây dựng mạng LAN ảo trên cơ sở mỗi dịch vụ, tách biệt lưu lượng truy cập quan trọng hoặc mạng chuyên sâu như Mạng lưu trữ (SAN) hoặc Thoại qua IP (VOIP). Một số thiết bị chuyển mạch cũng cho phép quản trị viên ưu tiên các Vlan, cung cấp nhiều tài nguyên hơn cho lưu lượng truy cập khắt khe và thiếu quan trọng hơn.
Sẽ thật kinh khủng khi cần xây dựng một mạng vật lý độc lập để phân tách lưu lượng. Hãy tưởng tượng mớ hỗn độn của hệ thống cáp mà bạn phải chiến đấu để thực hiện các thay đổi. Điều đó không nói lên điều gì cho việc tăng chi phí phần cứng và sức mạnh. Nó cũng sẽ không linh hoạt. Vlan giải quyết tất cả các vấn đề này bằng cách ảo hóa nhiều thiết bị chuyển mạch trên một phần cứng duy nhất.
Vlan cung cấp mức độ linh hoạt cao cho quản trị viên mạng thông qua giao diện phần mềm thuận tiện. Nói hai sở chuyển văn phòng. Nhân viên CNTT có phải di chuyển xung quanh phần cứng để thích ứng với sự thay đổi không? Không. Họ chỉ có thể gán lại các cổng trên các thiết bị chuyển mạch cho các Vlan chính xác. Một số cấu hình Vlan thậm chí sẽ không yêu cầu điều đó. Họ thích nghi một cách linh hoạt. Các Vlan này không yêu cầu các cổng được gán. Thay vào đó, chúng dựa trên địa chỉ MAC hoặc IP. Dù bằng cách nào, không cần xáo trộn các công tắc hoặc cáp. Hiệu quả và tiết kiệm chi phí hơn nhiều khi thực hiện giải pháp phần mềm để thay đổi vị trí của mạng thay vì di chuyển phần cứng vật lý.
Vlan tĩnh so với động
Có hai loại Vlan cơ bản, được phân loại theo cách các máy được kết nối với chúng. Mỗi loại có điểm mạnh và điểm yếu cần được tính đến dựa trên tình hình mạng cụ thể.
Vlan tĩnh
Các Vlan tĩnh thường được gọi là Vlan dựa trên cổng vì các thiết bị tham gia bằng cách kết nối với một cổng được chỉ định. Hướng dẫn này chỉ sử dụng Vlan tĩnh làm ví dụ cho đến nay.
Khi thiết lập một mạng với các Vlan tĩnh, một kỹ sư sẽ phân chia một bộ chuyển mạch theo các cổng của nó và gán mỗi cổng cho một Vlan. Bất kỳ thiết bị nào kết nối với cổng vật lý đó sẽ tham gia Vlan đó.
Các Vlan tĩnh cung cấp các cấu hình mạng rất đơn giản và dễ dàng mà không phụ thuộc quá nhiều vào phần mềm. Tuy nhiên, thật khó để hạn chế quyền truy cập trong một vị trí thực tế vì một cá nhân có thể chỉ cần cắm vào. Các Vlan tĩnh cũng yêu cầu quản trị viên mạng thay đổi gán cổng trong trường hợp ai đó trên mạng thay đổi vị trí thực.
Vlan động
Các Vlan động phụ thuộc nhiều vào phần mềm và cho phép mức độ linh hoạt cao. Quản trị viên có thể gán địa chỉ MAC và IP cho các Vlan cụ thể, cho phép di chuyển không bị cản trở trong không gian vật lý. Các máy trong mạng LAN ảo động có thể di chuyển bất cứ nơi nào trong mạng và vẫn trên cùng một Vlan.
Mặc dù Vlan động là không thể đánh bại về khả năng thích ứng, nhưng chúng có một số nhược điểm nghiêm trọng. Một bộ chuyển mạch cao cấp phải đảm nhận vai trò của một máy chủ được gọi là Máy chủ chính sách quản lý Vlan (VMPS (để lưu trữ và cung cấp thông tin địa chỉ cho các bộ chuyển mạch khác trên mạng. VMPS, giống như bất kỳ máy chủ nào, yêu cầu quản lý và bảo trì thường xuyên và có thể bị ngừng hoạt động.
Kẻ tấn công có thể giả mạo địa chỉ MAC và có quyền truy cập vào các Vlan động, thêm một thách thức bảo mật tiềm năng khác.
Thiết lập Vlan
Những gì bạn cần
Có một vài mục cơ bản mà bạn cần để thiết lập Vlan hoặc nhiều Vlan. Như đã nêu trước đây, có một số tiêu chuẩn khác nhau, nhưng tiêu chuẩn phổ biến nhất là IEEE 802.1Q. Đó là một ví dụ mà ví dụ này sẽ làm theo.
Bộ định tuyến
Về mặt kỹ thuật, bạn không cần bộ định tuyến để thiết lập Vlan, nhưng nếu bạn muốn nhiều Vlan tương tác, bạn sẽ cần một bộ định tuyến.
Nhiều bộ định tuyến hiện đại hỗ trợ chức năng Vlan ở dạng này hay dạng khác. Các bộ định tuyến gia đình có thể không hỗ trợ Vlan hoặc chỉ hỗ trợ nó trong một khả năng hạn chế. Phần sụn tùy chỉnh như DD-WRT hỗ trợ kỹ lưỡng hơn.
Nói về tùy chỉnh, bạn không cần bộ định tuyến sẵn có để hoạt động với mạng LAN ảo của mình. Phần sụn của bộ định tuyến tùy chỉnh thường dựa trên một hệ điều hành giống như Unix như Linux hoặc FreeBSD, vì vậy bạn có thể xây dựng bộ định tuyến của riêng mình bằng một trong những hệ điều hành nguồn mở đó.
Tất cả các chức năng định tuyến mà bạn cần đều có sẵn cho Linux và bạn có thể tùy chỉnh cấu hình cài đặt Linux để điều chỉnh bộ định tuyến của bạn để phục vụ các nhu cầu cụ thể của bạn. Đối với một cái gì đó đầy đủ tính năng hơn, hãy nhìn vào pfSense. pfSense là một bản phân phối tuyệt vời của FreeBSD được xây dựng để trở thành một giải pháp định tuyến nguồn mở mạnh mẽ. Nó hỗ trợ Vlan và bao gồm một tường lửa để bảo mật tốt hơn lưu lượng giữa các mạng ảo của bạn.
Cho dù bạn chọn tuyến đường nào, hãy đảm bảo rằng nó hỗ trợ các tính năng Vlan mà bạn cần.
Công tắc được quản lý
Các thiết bị chuyển mạch là trung tâm của mạng Vlan. Chúng là nơi phép màu xảy ra. Tuy nhiên, bạn cần một công tắc được quản lý để tận dụng chức năng Vlan.
Để đưa mọi thứ lên một mức cao hơn, theo nghĩa đen, có sẵn các công tắc được quản lý Lớp 3. Các thiết bị chuyển mạch này có thể xử lý một số lưu lượng mạng lớp 3 và có thể thay thế bộ định tuyến trong một số trường hợp.
Điều quan trọng cần lưu ý là các thiết bị chuyển mạch này không phải là bộ định tuyến và chức năng của chúng bị hạn chế. Các thiết bị chuyển mạch lớp 3 làm giảm khả năng độ trễ mạng có thể rất quan trọng trong một số môi trường nơi có mạng có độ trễ rất thấp.
Thẻ giao diện mạng máy khách (NIC)
Các NIC mà bạn sử dụng trên các máy khách của mình sẽ hỗ trợ 802.1Q. Rất có thể, họ làm, nhưng đó là điều cần xem xét trước khi tiến về phía trước.
Cấu hình cơ bản
Đây là phần khó khăn. Có hàng ngàn khả năng khác nhau về cách bạn có thể định cấu hình mạng của mình. Không có hướng dẫn duy nhất có thể bao gồm tất cả chúng. Tại trung tâm của họ, các ý tưởng đằng sau gần như bất kỳ cấu hình nào đều giống nhau, và quá trình chung cũng vậy.
Thiết lập Bộ định tuyến
Bạn có thể bắt đầu theo một vài cách khác nhau. Bạn có thể kết nối bộ định tuyến với từng bộ chuyển mạch hoặc từng Vlan. Nếu bạn chọn chỉ mỗi chuyển đổi, bạn sẽ cần định cấu hình bộ định tuyến để phân biệt lưu lượng.
Sau đó, bạn có thể định cấu hình bộ định tuyến của mình để xử lý việc truyền lưu lượng giữa các Vlan.
Cấu hình các công tắc
Giả sử rằng đây là các Vlan tĩnh, bạn có thể nhập tiện ích quản lý Vlan của công tắc thông qua giao diện web của nó và bắt đầu gán các cổng cho các Vlan khác nhau. Nhiều thiết bị chuyển mạch sử dụng bố trí bảng cho phép bạn kiểm tra các tùy chọn cho các cổng.
Nếu bạn đang sử dụng nhiều thiết bị chuyển mạch, hãy gán một trong các cổng cho tất cả các Vlan của bạn và đặt nó làm cổng trung kế. Làm điều này trên mỗi chuyển đổi. Sau đó, sử dụng các cổng đó để kết nối giữa các thiết bị chuyển mạch và truyền bá Vlan của bạn trên nhiều thiết bị.
Kết nối khách hàng
Cuối cùng, nhận được khách hàng trên mạng là khá tự giải thích. Kết nối các máy khách của bạn với các cổng tương ứng với các Vlan mà bạn muốn chúng trên đó.
Vlan tại nhà
Mặc dù nó có thể không được coi là một sự kết hợp hợp lý, Vlan thực sự có một ứng dụng tuyệt vời trong không gian mạng gia đình, mạng khách. Nếu bạn không muốn thiết lập mạng WPA2 Enterprise tại nhà và tạo thông tin đăng nhập riêng cho bạn bè và gia đình của mình, bạn có thể sử dụng Vlan để hạn chế quyền truy cập của khách đối với các tệp và dịch vụ trên mạng gia đình của bạn.
Nhiều bộ định tuyến gia đình cao cấp hơn và phần sụn bộ định tuyến tùy chỉnh hỗ trợ tạo Vlan cơ bản. Bạn có thể thiết lập Vlan khách với thông tin đăng nhập riêng để cho phép bạn bè kết nối thiết bị di động của họ. Nếu bộ định tuyến của bạn hỗ trợ nó, Vlan khách là lớp bảo mật được thêm tuyệt vời để ngăn máy tính xách tay bị nhiễm vi-rút của bạn bè của bạn làm hỏng mạng sạch của bạn.
