Vấn đề với thiết bị Switch

Mỗi port ở switch tạo ra 1 miền xung đột, cũng như switch cho phép truyền và nhận đồng thời. Đây là một thiết kế hiệu quả của switch so với hub.Tuy nhiên, switch lại duy trì một miền quảng bá. Điều này có nghĩa trong một vài trường hợp, switch sẽ thực hiện đẩy các frame nhận được ra tất cả các cổng, ngoại trừ cổng mà nó đi vào (FLOOD).Việc này xảy ra khi:

-        Địa chỉ MAC đích không xác định

-        Địa chỉ MAC đích là quảng bá

-        Địa chỉ MAC đích là multicast

-        Switch đạt tới giới hạn học địa chỉ MAC trên một cổng, tất cả các địa chỉ MAC khác không thể được học tiếp tục.

 

Trong sơ đồ mạng trên, với việc duy trì 1 miền quảng bá nếu 1 mạng có tới 1000 máy tính thì việc gởi các gói tin ARP đến tất cả các máy tính còn lại sẽ tạo nên 1 vùng dữ liệu quảng bá không cần thiết. Ví dụ như máy tính của tôi ở bộ phân IT thì có cần thiết phải lắng nghe gói tin quảng bá từ phòng tổ chức hay không ? Câu trả lời là không cần thiết !

Mạng cục bộ ảo (Virtual LANs) tạo ra một miền quảng bá

VLANs là một cách thức tạo ra một miền quảng bá nhỏ hơn trong thiết bị switch. Bằng việc cấu hình VLANs trên switch, chúng ta có thể tạo ra nhiều miền quảng bá riêng biệt, cô lập mạng LAN không thể giao tiếp với các mạng LAN trong cùng switch. Điều này cho phép chúng ta duy trì một miền quảng bá, nhóm quảng và truyền thông unicast bên trong một VLAN.

 

Xem xét hình ảnh minh hoạt, nếu máy tính trong mạng VLAN đỏ truyền dữ liệu bit trên đường truyền đến với các máy tính trong cùng một VLAN. Trong trường hợp, địa chỉ MAC đích là quảng bá thì nó cũng chỉ quảng bá trên một vùng VLAN của nó. Điều này cho phép chúng ta phân đoạn các lưu lượng giữa các nhóm máy tính khác nhau trên cùng một switch chẳng hạn như nhóm người dung, đơn vị, phòng ban và kiểu dữ liệu mà không phụ thuộc vào vị trí của họ ở đâu. Hiệu quả khi sử dụng VLAN:

-        Gói tin quảng bá / multicast chỉ lan truyền trong VLAN của nó.

-        Bảo mật được tăng lên, một HOST trong một VLAN này không thể giao tiếp với các máy tính ở VLAN khác, nếu cần thiết sẽ dùng thiết bị lớp 3 để thực hiện. Bộ định tuyến (Router) cho phép thực hiên một vài chức năng kiểm soát (ACLs, Firewall…)

Các kiểu cổng (Port) trên VLAN

Để phân loại được lưu lượng, các máy tính cần được gán với VLAN thích hợp, mặc định các cổng trên switch nằm ở VLAN1. Quá trình cấu hình các cổng trong VLAN gồm 3 bước:

B1: Cấu hình chỉ số VLAN trong Switch (có thể dùng Tên và tham số khác)

B2: Gán các máy tính đến VLAN được định nghĩa ở B1. Có hai cách gán: sử dụng địa chỉ MAC để gán (Dynamic) hoặc gán cổng trên một VLAN (gán bằng tay).

B3: Cấu hình cổng Trunk VLAN giữa các switch. Đây là bước tùy chọn tùy theo thiết kế hệ thống.

Có 2 kiểu cổng trong VLANs được sử dụng:

Access Port: kiểu cổng này chỉ sử dụng trong một VLAN, nếu gán cổng này cho VLAn thì no chỉ nhận lưu lượng trong một VLAN, nếu gán bằng địa chỉ MAC, thì cổng này sẽ xác định số VLAN (VLAN ID) để trao đổi dựa vào địa chỉ MAC để ánh xạ vào một VLAn cụ thể.

Trunk Port: cổng này có khả năng gởi và nhận các lưu lượng từ nhiều VLAN khác nhau (1-4094).

Khi nào thì cổng Trunk được cấu hình ?

 

Trong thiết kế, các thành viên cùng VLAN hoặc 1 miền quảng bá được kết nối qua nhiều switch, thì kết nối này được cấu hình Trunk Port. Cổng Trunk sử dụng một giao thức đặc biệt IEEE802.1q (Cisco sử dụng giao thức ISL). Giao thức này sẽ gán thẻ gồm VLAN ID của người gởi vào Frame trước khi gởi chúng ra cổng Trunk.

 

Thẻ 802.1q được đặt giữa địa chỉ nguồn và trường kiểu trong Ethernet Frame. Bao gồm 2 trường trong mỗi 2 byte:

1.     Hai byte đầu tiên chưa dấu hiện nhận biết giao thức 802.1q sử dụng giá trị 0x8100.

2.     Hai byte tiếp theo chứa:

o      PRI: Lớp dịch vụ được sử dụng cho QoS (3 bits)

o      Bit C(canonical): chỉ ra Frame được truyền từ Ethernet đến Token Ring.

o      VLAN ID: 12 bits, dùng để xác định Frame là của VLAN nào.

Native VLAN 802.1q

Một điều nữa tôi muốn chia sẽ thông tin về cổng trung kế (Trunk Port). Đó là khái niệm về Native VLAN là một VLAN có các cổng được cấu hình cổng trung kế. Fram của Native VLAN sẽ không gắn thêm thẻ khi qua cổng trung kế, mặc đinh Native VLAN là VLAN 1 (không thể xóa VLAN này khỏi Switch). Khả năng này cho phép các cổng hỗ trợ trunking 802.1Q giao tiếp được với các cổng không hỗ trợ trunking 802.1Q bằng cách gởi và nhận trực tiếp các luồng dữ liệu không cần gắn thẻ.

Vậy điều gì sẽ xảy ra nếu 2 cổng kết nối giữa 2 switch sử dụng VLAN ID khác nhau của Native VLAN ?

Hẹn gặp lại các bạn bài sau nhé !