VLAN là gì? Cấu hình VLAN? Có nên sử dụng VLAN?

Bạn đã từng nghe về mạng VLAN hoặc mạng LAN ảo chưa? Vậy, VLAN là gì và có cần thiết không? Hãy đọc bài viết dưới đây của Net Center để tìm hiểu chi tiết nhé!

VLAN là gì?

LAN là gì?

Trước khi tìm hiểu về VLAN, chúng ta cần hiểu LAN là gì.

LAN là một mạng nội bộ (viết tắt của Local Area Network), được xác định là tất cả các máy tính trong cùng một miền phát sóng (broadcast domain).

Các bộ định tuyến chặn các tin quảng bá, trong khi các bộ chuyển mạch chỉ tiếp tục chúng.

VLAN là gì?

VLAN (Virtual Local Area Network) là một công nghệ mạng được sử dụng để chia một mạng vật lý thành nhiều mạng ảo, giúp tăng tính linh hoạt và quản lý hiệu quả trong hệ thống mạng.

Một VLAN là một mạng ảo được tạo ra bên trong một mạng vật lý. Nó cho phép người quản trị mạng chia mạng vật lý thành các phân đoạn nhỏ hơn, mỗi phân đoạn có thể có các thiết bị và máy tính khác nhau, mà không cần phải dùng đến sự hỗ trợ của công nghệ mạng vật lý như cáp mạng riêng biệt.

Kỹ thuật VLAN là miền quảng bá được tạo ra bởi các switch. Thông thường, router sẽ tạo ra miền quảng bá nhưng với VLAN, switch có khả năng tạo ra miền quảng bá.

Bạn có thể hiểu một cách đơn giản hơn rằng VLAN được sử dụng để phân chia một switch thành nhiều switch nhỏ hơn và hoàn toàn độc lập với nhau.

Đối với network : VLAN = Broadcast domain = Logical Network, còn đối với switch: VLAN = Logical switch.

Một switch có thể tạo nhiều VLAN, khi một thiết bị trong một VLAN gửi broadcast thì nó sẽ được chuyển đến các thiết bị khác trong cùng VLAN, Tuy nhiên, phát sóng sẽ không được chuyển tiếp đến các thiết bị trong các VLAN khác.

Phân loại mạng VLAN

Mạng VLAN gồm có 3 loại chính như sau:

• Port – based VLAN: Cách cấu hình VLAN đơn giản và phổ biến là gán mỗi cổng trên Switch với một VLAN cụ thể (mặc định là VLAN 1), điều này đồng nghĩa với việc bất kỳ thiết bị host nào được kết nối vào cổng đó đều thuộc về một VLAN nhất định.
• MAC address based VLAN: Cách thiết lập này ít được sử dụng vì có nhiều khó khăn trong việc quản lý. Mỗi địa chỉ MAC được gắn với một VLAN cụ thể.
• Protocol – based VLAN: Cách cấu hình này tương tự như dựa trên địa chỉ MAC, tuy nhiên thay vì sử dụng địa chỉ MAC đang sử dụng, nó sử dụng một địa chỉ logic hoặc địa chỉ IP. Cách cấu hình này không còn phổ biến nữa bởi vì giao thức DHCP được sử dụng.

VLAN có thật sự cần thiết không?

Khi mạng máy tính của bạn quá lớn và có lượng truy cập quá nhiều, thì bạn cần sử dụng VLAN.

Một vấn đề quan trọng khác là trên switch Cisco, VLAN 1 được kích hoạt mặc định và tất cả các máy tính nằm trong VLAN đó. Điều này cho phép sử dụng tất cả các cổng trên switch và các máy tính có thể giao tiếp với nhau.

Lợi ích của VLAN mang lại?

Một số lợi ích VLAN mang lại:

• Tiết kiệm băng thông mạng: VLAN được sử dụng để phân chia mạng LAN thành các phân đoạn khác nhau. Khi gửi một gói tin, nó chỉ được gửi trong một VLAN duy nhất và không truyền ở các VLAN khác, giảm lưu lượng mạng, tiết kiệm băng thông và không làm giảm tốc độ đường truyền.
• Tăng khả năng bảo mật: Các VLAN khác nhau không thể truy cập lẫn nhau trừ khi được khai báo định tuyến. Một sự cố xảy ra trong một VLAN sẽ không ảnh hưởng đến các VLAN khác.
• Dễ dàng thêm hay bớt nhiều máy tính vào VLAN: Trên một switch có nhiều cổng, ta có thể thiết lập các VLAN khác nhau cho từng cổng để dễ dàng kết nối thêm máy tính vào các VLAN đó.
• Mạng có tính linh động cao hơn: Trong mạng VLAN, việc di chuyển các thiết bị là dễ dàng. VLAN có thể được cấu hình tĩnh hoặc động. Với cấu hình tĩnh, người quản trị mạng phải thiết lập cho từng cổng của từng switch. Sau đó, xếp nó vào một VLAN bất kỳ. Trong cấu hình động, mỗi cổng của switch có thể tự động cấu hình VLAN dựa trên địa chỉ MAC của thiết bị được kết nối vào.

Khi nào nên cần có một VLAN?

Việc sử dụng VLAN phụ thuộc vào nhu cầu và yêu cầu cụ thể của hệ thống mạng. Dưới đây là một số tình huống khi nên xem xét việc tạo VLAN:

• Nhiều máy tính: Bạn có mạng LAN với số lượng máy tính trên 200.
• Broadcast traffic lớn: Lưu lượng quảng quá trên mạng LAN của bạn quá lớn.
• Quản lý phân đoạn mạng: Khi bạn muốn chia mạng thành các phân đoạn nhỏ hơn để quản lý dễ dàng hơn, hoặc khi cần kiểm soát quyền truy cập giữacác nhóm thiết bị khác nhau, sử dụng VLAN là lựa chọn tốt. Ví dụ, trong một công ty, bạn có thể tạo ra các VLAN riêng để phân chia giữa các phòng ban như kế toán, marketing và phát triển sản phẩm. Điều này giúp hạn chế sự truyền thông không cần thiết và bảo vệ thông tin quan trọng của từng phòng ban.
• Tăng tính bảo mật: Nếu bảo mật là ưu tiên hàng đầu trong mạng của bạn, VLAN có thể được sử dụng để ngăn chặn truy cập trái phép vào các phần của mạng. Bằng cách đặt các thiết bị và máy tính trong các VLAN riêng biệt và cấu hình quyền truy cập, bạn có thể giới hạn khả năng xâm nhập và lây lan của các mối đe dọa mạng.
• Phân loại dịch vụ: Trong các mạng có nhu cầu phân loại dịch vụ (QoS – Quality of Service), VLAN có thể được sử dụng để ưu tiên và quản lý lưu lượng mạng. Bằng cách gán các dịch vụ khác nhau vào các VLAN riêng biệt, bạn có thể đảm bảo rằng ưu tiên và chất lượng dịch vụ được đáp ứng một cách hiệu quả.

Cấu hình VLAN?

Để tạo VLAN trên switch, bạn cần làm như sau:

Tạo VLAN

Bước 1: Truy cập vào công cụ web và lựa chọn VLAN Management >>> VLAN Settings.

Bước 2: Trong mục VLAN Table, bấm Add để tạo một VLAN mới. Một cửa sổ sẽ hiện ra.

Bước 3: Có thể thêm VLAN bằng hai phương pháp khác nhau, như được mô tả trong các lựa chọn dưới đây:

• VLAN: Sử dụng VLAN để tạo một mạng LAN ảo riêng.
• Range: Áp dụng kỹ thuật này để tạo ra một phạm vi cho VLAN.

Bước 4: Nếu bạn đã lựa chọn VLAN ở bước 3, vui lòng điền mã VLAN vào ô ID VLAN. Nó phải nằm trong phạm vi từ 2 đến 4094.

Bước 5: Trong trường VLAN Name, nhập tên VLAN. Có thể sử dụng tối đa 32 ký tự.

Bước 6: Lựa chọn hộp kiểm VLAN Interface State để bật trạng thái của giao diện VLAN. Nếu không được chọn theo mặc định, VLAN sẽ không hoạt động và không thể truyền hoặc nhận thông qua VLAN.

Bước 7: Tích vào Link Status SNMP Traps nếu bạn muốn bật chức năng tạo SNMP trap. Chức năng này đã được mặc định bật sẵn.

Bước 8: Nếu đã chọn Range trong bước 3, xin vui lòng chỉ định phạm vi của các VLAN trong dải VLAN Range. Khoảng giá trị có sẵn là từ 2 đến 4094.

Lưu ý: Có thể tạo tối đa 100 VLAN cùng một thời điểm.

Bước 9: Bấm vào nút Apply.

Chỉnh sửa VLAN

Bước 1. Truy cập vào ứng dụng dựa trên web và lựa chọn VLAN Management >>> VLAN.

Bước 2. Chọn hộp kiểm bên cạnh VLAN mà bạn muốn chỉnh sửa.

Bước 3. Nhấn Edit để chỉnh sửa VLAN. Cửa sổ Edit VLAN khi đó sẽ xuất hiện.

Bước 4. Bạn có thể chuyển VLAN hiện tại bằng cách sử dụng danh sách tuỳ chọn VLAN ID. Điều này được sử dụng để chuyển đổi giữa các VLAN một cách nhanh chóng mà không cần phải quay lại trang VLAN Settings.

Bước 5. Sửa tên VLAN trong mạng trường VLAN Name. Tên này không ảnh hưởng đến hoạt động của VLAN và chỉ được sử dụng để xác định một cách dễ dàng.

Bước 6. Đánh dấu vào mục VLAN Interface State để kích hoạt trạng thái interface VLAN. Nếu không, VLAN sẽ bị vô hiệu hóa và không thể truyền hoặc nhận dữ liệu thông qua VLAN.

Bước 7. Đánh dấu vào ô kiểm Enable Link Status SNMP Traps để tạo SNMP trap với thông tin trạng thái liên kết. Mặc đinh, hộp này đã được chọn.

Bước 8. Nhấn Apply để hoàn tất.

Xóa VLAN

Bước 1. Đăng nhập vào tiện ích trên nền web và chọn VLAN Management >>> VLAN Settings.

Bước 2. Lựa chọn hộp kiểm đặt bên cạnh VLAN mà bạn muốn xóa.

Bước 3. Nhấn Delete để xóa VLAN.

VLAN cung cấp những gì?

Việc sử dụng VLAN mang lại nhiều lợi ích cho mạng, bao gồm:

• Tăng tính linh hoạt: VLAN cho phép bạn dễ dàng thêm, sửa đổi hoặc xóa các mạng ảo để phù hợp với nhu cầu của mạng vật lý.
• Quản lý hiệu quả: Bằng cách chia mạng thành các VLAN nhỏ, bạn có thể quản lý từng phân đoạn mạng một cách riêng biệt và tập trung.
• Cải thiện hiệu suất: Các VLAN giúp giảm lưu lượng không cần thiết và xung đột trên mạng, cung cấp hiệu suất tốt hơn cho các thiết bị và máy tính trong mạng.

Rủi ro bảo mật tiềm ẩn khi dùng VLAN

Mặc dù VLAN mang lại nhiều lợi ích, nhưng cũng có một số rủi ro bảo mậttiềm ẩn khi sử dụng VLAN. Dưới đây là một số rủi ro cần lưu ý:

1. Rủi ro bảo mật chéo VLAN: Nếu không thiết lập và quản lý VLAN một cách chính xác, có thể xảy ra các vấn đề bảo mật chéo VLAN. Điều này có nghĩa là người dùng trong một VLAN có thể có khả năng truy cập vào dữ liệu hoặc tài nguyên trong các VLAN khác, gây nguy cơ tiếp cận trái phép và lây lan thông tin nhạy cảm.
2. Sự cô lập không đầy đủ: Mặc dù VLAN giúp chia mạng thành các phân đoạn nhỏ, nhưng không đảm bảo hoàn toàn tính cô lập giữa các VLAN. Một số tấn công như tấn công hỗn hợp (inter-VLAN attacks) có thể xảy ra nếu có lỗ hổng bảo mật trong cấu hình switch hoặc thiết bị mạng.
3. Sai cấu hình: Sai cấu hình VLAN có thể dẫn đến sự cố không mong muốn và làm gián đoạn hoạt động của mạng. Ví dụ, nếu một VLAN được cấu hình sai hoặc không được áp dụng đúng, các thiết bị hoặc máy tính có thể không thể kết nối hoặc truyền thông với nhau.
4. Quản lý phức tạp: Quản lý hệ thống mạng sử dụng VLAN có thể phức tạp và đòi hỏi kiến thức chuyên sâu về mạng. Việc cấu hình, theo dõi và bảo trì VLAN yêu cầu sự am hiểu về các khái niệm mạng và công nghệ liên quan.

FAQ – Một số câu hỏi về VLAN?

1. Tại sao không chia subnet?

Một câu hỏi phổ biến là tại sao không dùng chia subnet thay vì sử dụng VLAN? Mỗi VLAN nên ở trên một subnet riêng. VLAN có điểm lợi hơn so với subnet ở chỗ các máy tính ở những vị trí vật lý khác nhau (không quay lại cùng một router) có thể nằm trong cùng một mạng. Nhược điểm của việc chia subnet với một router là tất cả các máy tính trên subnet đó phải được kết nối tới cùng một switch và switch đó phải được kết nối tới một cổng trên router.

Trong VLAN, một máy tính có thể được kết nối với switch này trong khi máy tính khác có thể kết nối tới switch khác nhưng tất cả các máy tính đều thuộc cùng một VLAN (Broadcast domain).

2. Làm thế nào để các máy tính thuộc VLAN khác nhau có thể liên lạc với nhau?

Các máy tính ở các VLAN khác nhau có thể liên lạc với một router hoặc switch Layer 3. Vì mỗi VLAN đều là một subnet riêng, nên để kết nối giữa các subnet, ta cần sử dụng router hoặc switch Layer 3 để định tuyến.

3. Cổng trunk là gì?

Khi một kết nối giữa hai switch hoặc giữa một router và một switch truyền tải lưu lượng của nhiều VLAN, thì cổng đó được gọi là cổng trunk.

Cổng trunk cần phải hoạt động bằng giao thức truyền đặc biệt. Giao thức này có thể là ISL độc quyền của Cisco hoặc chuẩn 802.1q của IEEE.

Kết luận

VLAN là một công nghệ mạng mạnh mẽ cho phép chia mạng vật lý thành các mạng ảo. Việc sử dụng VLAN mang lại nhiều lợi ích về tính linh hoạt, quản lý hiệu quả và bảo mật mạng. Tuy nhiên, cần lưu ý rủi ro bảo mật tiềm ẩn và đảm bảo cấu hình VLAN được thực hiện đúng cách để tránh các vấn đề không mong muốn.