Khái niệm VLAN, cấu hình VLAN cơ bản, Port Security

Từ đầu chủ đề "Hạ Tầng Mạng" chúng ta học khá nhiều về Router, ở bài này chúng ta sẽ tìm hiểu về Switch qua một tính năng được nhận xét là điểm mạnh của Switch đó là VLAN.

VLAN là gì ?

VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, phòng ban của công ty, doanh nghiệp...

Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN. Để thấy rõ được lợi ích này chúng ta hãy xét một ví dụ:

Một công ty thuê một tòa nhà 3 tầng, mỗi tầng có 3 phòng ban (phòng kế toán, phòng tài chính, phòng IT...). Mỗi phòng phải dùng 1 Switch để kết nối các thiết bị như máy tính, máy in... Vậy mỗi tầng phải sử dụng 3 Switch và cả tòa nhà là 9 Switch. Cách làm trên là rất tốn kém chi phí và không tận dụng hết số cổng trên 1 Switch. Chính vì vậy, VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản và tiết kiệm được chi phí.

Lợi ích của VLAN:

Tiết kiệm băng thông của hệ thống mạng: 

VLAN chia mạng LAN thành nhiều đoạn nhỏ, mỗi đoạn đó là một vùng quảng bá (broadcast domain). Khi có gói tin quảng bá (broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng.

Tăng khả năng bảo mật: 

Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ khi ta sử dụng router nối giữa các VLAN). Như trong ví dụ trên, các máy tính trong VLAN phòng kế toán chỉ có thể liên lạc được với nhau. Máy ở VLAN phòng kế toán không thể kết nối được với máy tính ở VLAN phòng IT.

Dễ dàng thêm hay bớt máy tính vào VLAN: 

Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng cho máy đó vào VLAN mong muốn.

Giúp mạng có tính linh động cao: 

VLAN có thể dễ dàng di chuyển các thiết bị. Giả sử trong ví dụ trên, sau một thời gian sử dụng công ty quyết định để mỗi phòng ban ở một tầng riêng biệt. Ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào các VLAN theo yêu cầu.

VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình tĩnh, người quản trị mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán cho nó vào một VLAN nào đó. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào.

Cấu hình VLAN cơ bản trên Switch:

Tạo VLAN:

Có 2 cách tạo VLAN như sau:

Cách 1: Ở privileged mode

vlan database

vlan <VLAN ID> name <tên VLAN>

Cách 2: Ở configured mode

vlan <VLAN ID>

name <tên VLAN>

Lưu ý:

- VLAN ID là số từ 1 tới 1005, nên đặt VLAN ID từ 2 trở lên vì VLAN 1 là default VLAN, mạc định mọi Switch đều có VLAN này.

- Tên VLAN không bắt buộc phải đặt, nhưng cần đặt tên để tiện quảng lý ví dụ như Phong_KeToan, VLAN_Tang1...

Gán port vào VLAN:

Vào interface-config mode:

switchport mode access

switchport access vlan <VLAN ID>

Hoặc gán một dãy port vào VLAN:

Ở configured mode:

interface range <dãy port cần gán vào VLAN ví dụ: f0/1-12 (từ f0/1 tới f0/12)>

switchport mode access

switchport access vlan <VLAN ID>

Lưu ý: port ở mode access chỉ truyền và nhận dữ liệu trong cùng VLAN

Lệnh show:

show vlan brief (show ở dạng ngắn gọn)

show vlan <VLAN ID>

show vlan <tên VLAN>

Ví dụ:

Tăng cường khả năng bảo mật trên Switch - Port Security:

Ngoài việc bảo mật trên Switch bằng enable password, console vty login password để ngăn chặn người khác vào cấu hình như chúng ta đã biết, Switch còn có khả năng bảo mật trên các cổng access để ngăn chặn người ngoài xâm nhập vào mạng nội bộ thông qua tính năng Port Security

Cấu hình:

vào interface hoặc interface range như trên VLAN :

shutdown

switchport mode access

switchport port-sercurity

switchport port-sercurity maximum <số địa chỉ MAC được chấm nhận>

switchport port-security mac-address <địa chỉ MAC cụ thể của host> hoặc

switchport port-security mac-address sticky (port sẽ tự lưu địa chỉ MAC của host khi chưa vượt quá maximum)

switchport port-security violation <các loại xử lý vi phạm>

các loại xử lý vi phạm bao gồm:

protect: port drop tất cả traffic của MAC lạ (MAC không được cấu hình ở trên) cho đế khi ngắt kết nối của nó ra khỏi port.

restrict: tương tự như protect nhưng nó sẽ tăng giá trị security violation lên 1 để thông báo cho người quản trị, sử dụng lệnh show port-security sẽ thấy.

shutdown: port drop tất cả traffic của MAC lạ và tự shutdown, lúc này port vào trạng thái error disble, để port trở lại bình thường bạn dùng lệnh shutdown một lần nữa và no shutdown trở lại.

Lệnh show:

show port-security interface <tên port>

Ví dụ: