469
*Kiểm soát giao thông mạng dễ dàng.
*Gia tăng khả năng bảo mật.

Tất cả các user đợc gắn vào cùng port là cùng một VLAN.
Hình 8.1.4
8.1.5 Các loại VLAN
Có 3 loại thành viên VLAN để xác định và kiểm soát việc sử lý các gói dữ liệu:
*VLAN theo port
*VLAN theo địa chỉ MAC
*VLAN theo giao thức


470

Hình 8.1.5.1. 3 loại thành viên VLAN

*User thuộc loại VLAN nào là tuỳ thuộc vào port kết nối của user đó.
*Không cần tìm trong cơ sở dữ liệu khi xác định thành viên VLAN
*Dễ dàng quản lý bằng giao diện đồ hoạ(GUIs). Quản lý thành viên của
VLAN theo port cũng dễ dàng và đơn giản.
*Bảo mật tối đa giữa các VLAN
*Gói dữ liệu không bị rò rỉ sang các miền khác.
*Dễ dàng kiểm soát qua mạng


471

Hình 8.1.5.b.Xác định thành viên VLAN theo port.

*User thuộc loại VLAN nào là tuỳ thuộc vào địa chỉ MAC của user đó
*Linh hoạt hơn nhng tăng độ tải lên giao thông mạng và công việc quản trị
mạng.
*ảnh hởng đến hiệu suất hoạt động, khả năng mở rộng và khả năng quản trị
vì quản lý thành viên của VLAN theo địa chỉ MAC là một việc phức tạp.
*Tiến trình xử lý gần giống nh các lớp trên.



Hình 8.1.5.c Xác định thành viên VLAN theo địa chỉ MAC.
Số lợng VLAN trên một switch phụ thuộc vào các yếu tố sau:

472
+Dòng giao thông
+Loại ứng dụng
+Sự quản lý mạng
+Sự phân nhóm
Ngoài ra một yếu tố quan trọng mà chúng ta cần quan tâm là kích thớc của switch
và sơ đồ chia địa chỉ IP
Ví dụ: Một mạng sử dụng địa chỉ mạng có 24 bít subnet mask, nh vậy mỗi subnet
có tổng cộng 254 địa chỉ host. Chúng ta nên sử dụng mối tơng quan một- một
giữa VLAN và IP subnet. Do đó, mỗi VLAN tơng ứng với một IP subnet, có tối
đa 254 thiết bị.


Thieu hinh ve ko co hinh


Phần header của frame sẽ đợc đóng gói lại và điều chỉnh để có thêm thông
tin về VLAN ID trớc khi frame đợc truyền lên đờng truyền kết nối giữa các

switch. Công việc này gọi là dán nhãn cho frame. Sau đó, phần header của frame
đợc trả lại nh cũ trớc khi truyền xuống cho thiết bị đích.
Có hai phơng pháp chủ yếu để dán nhãn frame là Intr Switch Link(ISL) và
802.1Q.ISL từng đợc sử dụng phổ biến nhng bây giờ đang thay thế bởi 802.1Q.
Xét ví dụ trên hình 8.1.5.d: Switch lu riêng từng bảng chuyển mạch tơng
ứng với mỗi VLAN. Switch nhận frame vào từ VLAN nào thì chỉ học địa chỉ nguồn
và tìm địa chỉ đích trong bảng chuyển mạch của VLAN đó. Nhờ đó switch bảo đảm
chỉ thực hiện chuyển mạch trong cùng một VLAN. Bây giờ giả sử máy trạm trong
VLAN1 của switch A gửi gói dữ liệu cho máy trạm trong VLAN 1 của switch B.
Switch A nhận đợc gói dữ liệu này vào từ port nằm trong VLAN1, do đó nó tìm
địa chỉ đích trong bảng chuyển mạch của VLAN1. Sau đó switch xác định là phải
chuyển frame này lên đờng backbone. Trớc khi chuyển frame lên đờng

473
backbone thì Switch A sẽ đóng gói lại cho frame, trong đó phần header của frame
có thêm thông tin về VLAN ID cho biết gói dữ liệu này thuộc VLAN1. Công việc
này gọi là dán nhãn frame. Sau đó Switch B nhận đợc gói dữ liệu từ đờng
backbone xuống, dựa vào VLAN ID trong gói, Switch xác định gói dữ liệu này từ
VLAN1 nên nó tìm địa chỉ đích trong bảng chuyển mạch của VLAN1. Switch B
tìm đợc port đích của gói dữ liệu. Trớc khi chuyển gói xuống máy đích, Switch
tìm đợc port đích của gói dữ liệu. Trớc khi chuyển gói xuống máy đích, Switch
B trả lại định dạng ban đầu của phần header trong gói dữ liệu, hay còn gọi là gỡ
nhãn frame.
Mô phỏng LAN (LANE LAN Emulation) làm cho mạng ATM(Asynchronous
Transfer Mode) bắt chớc giống mạng Ethernet. Trong LANE, không có dán nhãn
frame mà sử dụng kết nối ảo để biểu thị choVLAN ID.
8.2 Cấu hình VLAN
8.2.1. Cấu hình VLAN cơ bản
Trong môi trờng chuyển mạch, một máy trạm chỉ nhận đợc giao thông nào
gửi đến nó. Nhờ đó, mỗi máy trạm đợc dành riêng và trọn vẹn băng thông cho

đờng truyền và nhận. Không giống nh hệ thống hus chia sẻ chỉ có một máy trạm
đợc phép truyền tại một thời điểm, mạng chuyển mạch có thể cho phép nhiều
phiên giao dịch cùng một lúc trong một miền quảng bá mà không làm ảnh hởng
đến các máy trạm khác bên trong cũng nh bên ngoài miền quảng bá. Ví dụ nh
trên hình 8.2.1.a, cặp A/B, C/D, E/F có thể đồng thời liên lạc với nhau mà không
ảnh hởng đến các cặp máy khác.


474
Hình 8.2.1.a
Mỗi VLAN có một địa chỉ mạng Lớp 3 riêng: Nhờ đó router có thể chuyển
gói giữa các VLAN với nhau.
Chúng ta có thể xây dựng VLAN cho mạng từ đầu cuối - đến - đầu cuối hoặc theo
giới hạn địa lý.

Hình 8.2.1.b VLAN từ đầu cuối- đến - đầu cuối.
Một mạng VLAN từ đầu cuối - đến - đầu cuối có các đặc điểm nh sau:
*User đợc phân nhóm vào VLAN hoàn toàn không phụ thuộc vào vị trí vật
lý, chỉ phụ thuộc vào chức năng công việc của nhóm.
*Mọi user trong cùng một VLAN đều có chung tỉ lệ giao thông 80/20(80%
giao thông trong VLAN, 20% giao thông ra ngoài VLAN)
*Khi user di chuyển trong hệ thống mạng vẫn không thay đổi VLAN của
user đó.
*Mỗi VLAN có những yêu cầu bảo mật riêng cho mọi thành viên của VLAN
đó.
Bắt đầu từ tầng truy cập, port trên switch đợc cấp xuống cho mỗi user. Ngời sử
dụng di chuyển trong toàn bộ hệ thống mạng ở mọi thời điểm nên mỗi switch đều

475
là thành viên của mọi VLAN. Switch phải dán nhãn frame khi chuyển frame giữa

các switch tầng truy cập với switch phân phối.
ISL là giao thức độc quyền của Cisco để dán nhãn cho frame khi truyền frame giữa
các switch với nhau và với router. CònIEEE802.1Q là một chuẩn để dán nhãn
frame. Catalyst 2950 không hỗ trợ ISL trunking.
Các server hoạt động theo chế độ client/server. Do đó các server theo nhóm nên đặt
trong cùng VLAN với nhóm user mà server đó phục vụ, nh vậy sẽ giữ cho dòng
lu lợng tập trung trong VLAN, giúp tối u hoá hoạt động chuyển mạch lớp 2.
Router ở tầng trục chính đợc sử dụng để định tuyến giữa các subnet. Toàn bộ hệ
thống này có tỉ lệ lu lợng là 80% lu lợng trong nội bộ mỗi VLAN, 20% giao
thông đi qua router đến các server toàn bộ hệ thống và đi ra internet, WAN.
8.2.2. Vlan theo địa lý.
VLAN từ đầu cuối - đến - đầu cuối cho phép phân nhóm nguồn tài nguyên
sử dụng, ví dụ nh phân nhóm user theo server sử dụng, nhóm dự án và theo phòng
ban Mục tiêu của VLAN từ đầu đến cuối - đến - đầu cuối là giữ 80% giao thông
trong nội bộ của VLAN.
Khi các hệ thống mạng tập đoàn thực hiện tập trung tài nguyên mạng thì
VLAN từ đầu cuối - đến - đầu cuối rất khó thực hiện mục tiêu của mình. Khi đó
user cần phải sử dụng nhiều nguồn tài nguyên khác nhau không nằm trong cùng
VLAN với user. Chính vì xu hớng sử dụng và phân bố tài nguyên mạng khác đi
nên hiện nay VLAN thờng đợc tạo ra theo giới hạn của địa lý.
Phạm vi địa lý có thể lớn bằng cả một toà nhà hoặc cũng có thể chỉ nhỏ với
một switch. Trong cấu trúc VLAN này. Tỷ lệ lu lợng sẽ là 20/80, 20% giao
thông trong nội bộ VLAN và 80% giao thông đi ra ngoài VLAN.
Điểm này có nghĩa là lu lợng phải đi qua thiết bị lớp 3 mới đến đợc 80%
nguồn tài nguyên. Kiểu thiết kế này cho phép việc truy cập nguồn tài nguyên đợc
thống nhất.

476

Hình 8.2.2

8.2.3 Cấu hinh VLAN cố định.
VLAN cố định là VLAN đợc cấu hình theo port trên switch bằng các phần
mềm quản lý hoặc cấu hình trực tiếp trên switch. Các port đã đợc gán vào VLAN
nào thì nó sẽ giữ nguyên cấu hình VLAN đó cho đến khi đợc thay đổi bằng lệnh.
Đây là cấu trúc VLAN theo địa lý, các user phải đi qua thiết bị lớp 3 mới truy cập
80% tài nguyên mạng. Loại VLAN cố định hoạt động tốt trong những mạng có đặc
điểm nh sau:
Sự di chuyển trong mạng đợc quản lý và kiểm soát.
Có phần mềm quản lý VLAN mạnh để cấu hình port trên switch.
Không dành nhiều tải cho hoạt động duy tri địa chỉ MAC của thiết bị đầu
cuối và điều chỉnh bảng địa chỉ.
VLAN động thì không phụ thuộc vào port trên switch.
Sau đây là các hớng dẫn khi bạn cấu hình VLAN trên Cisco 29xx switch:
Số lợng VLAN tối đa phụ thuộc vào switch.
VLAN 1 là VLAN mặc định của nhà sản xuất.

477
VLAN 1 là VLAN Ethernet mặc định.
Giao thức phát hiện thiết bị Cisco (Cisco Discovery Protocol CDP) và
giao thức VLAN Trunking (VTP) đều giử gói quảng bá của mình trong VLAN 1.
Địa chỉ IP của Catalyst 29xx mặc định nằm trong miền quảng bá VLAN 1.
Switch phải ở chế độ VTP server để tạo, thêm hoặc xoá VLAN.
Việc tạo VLAN trên switch rất đơn giản và rõ ràng. Nếu bạn sử dụng switch
với cisco IOS, bạn vào chế độ cấu hình VLAN bằng lệnh vlan database ở chế độ
EXEC đặc quyền, sau đó bạn tạo VLAN:
Switch # vlan database.
Switch (vlan) # vlan vlan_number.
Switch (vlan) # exit.
Sau khi đã có VLAN trên switch, bớc tiếp theo là các bạn gán port vào
VLAN:

Switch (config) # interfase fastethernet 0/9.
Switch (config-if)#switchport access vlan vlan_number.
8.2.4. Kim tra cấu hình VLAN.
Bạn dùng các lệnh sau để kiểm tra cấu hình VLAN: show vlan, show vlan
brief, show vlan id id_number.
Bạn nên nhớ 2 điều kiện sau:
Tất cả các VLAN đợc tạo ra chỉ bắt đầu đợc sử dụng khi đã có port đợc
phân cho nó.
Mặc định, tất cả các port ethernet đều nằm trong VLAN 1.


478

Hình 8.2.4.a


Hình 8.2.4.b
8.2.5. Lu cấu hình VLAN.
Bạn nên lu cấu hình VLAN thành một tập tin văn bản để có thể biên tập lại
hoặc để dự phòng.

479
Bạn có thể lu cấu hình switch bằng lệnh copy running-config tftp hoặc bằng
chức năng ghi lại văn bản (capture text) của HyperTerminal.


Hình 8.2.5
8.2.6. Xoá VLAN.
Xoá một VLAN trên switch cũng giống nh một dòng lệnh xoá trong cấu
hình router vậy. Đơn giản là bạn tạo VLAN bằng lệnh nào thì bạn dùng dạng đó

của câu lệnh đó để xoá VLAN.
Khi một VLAN đã bị xoá đi thì tất cả các port của VLAN đó sẽ ở trạng thái
không hoạt động nhng vẫn thuộc về VLAN đã bị xoá cho đến khi nào các port này
đợc cấu hình sang VLAN khác.

Hình 8.2.6. Xoá port 0/9 khỏi VLAN 300.


480
8.3. Xử lý sự cố VLAN.
8.3.1. Giới thiệu chung.
Hiện nay VLAN đợc sử dụng phổ biến. Với VLAN, ngời kỹ s mạng có
thể linh hoạt hơn trong thiết kế và triển khai hệ thống mạng. VLAN giúp giới hạn
miền quảng bá, gia tăng khả năng bảo mật và phân nhóm theo logic. Tuy nhiên, với
cơ bản chuyển mạch LAN, sự cố có thể xay ra khi chúng ta triển khai VLAN.
Trong bài này sẽ cho thấy một vài sự cố có thể xảy ra với VLAN và cung cấp cho
các bạn một số công cụ và kỹ thuật sử lý sự cố.
Sau khi hoàn tất bài này các bạn có thể thực hiện các việc sau:
Phân tích hệ thống để tiếp xúc với sự cố của VLAN.
Giải thích các bớc xử lý sự cố nói chung trong mạng chuyển mạch.
Mô tả sự cố Spanning Tree dẫn đến trận bão quảng bá nh thế nào.
Sử dụng lệnh show và debug để xử lý sự cố VLAN.
8.3.2. Tiến trình xử lý sự cố VLAN.
Điều quan trọng là bạn phải phát triển các bớc xử lý sự cố trên switch một
cách có hệ thống. Sau đây là các bớc có thể giúp cho bạn xác định sự cố trong
mạng chuyển mạch:
1. Kiểm tra các biểu hiện vật lý, nh trạng thái LED.
2. Bắt đầu từ một cấu hình trên một switch và kiêm tra dần ra.
3. Kiểm tra kết nối lớp 1.
4. Kiểm tra kết nối lớp 2.

5. Xử lý sự cố VLAN xảy ra trên nhiều switch.
Khi xay ra sự cố, bạn nên kiểm tra xem đây là một sự cố lặp đi lặp lại hay là
sự cố biệt lập. Một số sự cố lặp đi lặp lại có thể là do sự gia tăng của các dịch vụ
phục vụ cho máy trạm, làm vợt qua khả năng cấu hình, khả năng đờng trunking
và khả năng truy cập tài nguyên trên server.

481
Ví dụ: Việc sử dụng các công nghệ web và các ứng dụng truyền thống nh
truyền tải file, email sẽ làm gia tăng mật độ giao thông làm cho toàn bộ hệ thống
bị trì trệ.

Hình 8.3.1
Hiện nay rất nhiều mạng LAN phải đối mặt với mô hình giao thông cha
đợc tính trớc, là kết quả của sự gia tăng giao thông trong intranet, ít phân nhóm
server hơn và tăng sử dụng multicast. Nguyên tắc 80/20 với chỉ có 20% giao thông
đi lên các đờng trục chính đã trở lên lạc hậu. Ngày nay, các trình duyệt web nội
bộ có thể cho phép user xác định và truy cập thông tin ở bất kỳ đâu trong mạng nội
bộ của tập đoàn.
Nếu mạng thờng xuyên bị nghẽn mạch, quá tải, rớt gói và truyền lại nhiều
lần thì nghĩa là có quá nhiều port cho một đơng trunk hoặc có quá nhiều yêu cầu
truy suất vào các nguồn tài nguyên của toàn hệ thông và các server intranet.
Nghẽn mạch cũng có thể do phần lớn giao thông đều đợc truyền lên đờng
trục chính, hoặc là do user mở ra nhiều tài nguyên và nhiêu ứng dụng đa phơng
tiện. Trong trờng hợp này thị hệ thống mạng nên nâng cấp để đáp ứng nhu cầu
phát triển.
8.3.3. Ngăn trặn cơn bão quảng bá.

482
Trận bão quảng bá xảy ra khi có quá nhiều gói quảng bá đợc nhận vào trên
một port. Việc sử lý chuyển mạch các gói này cho hệ thống mạng châm đi. Chúng

ta có thể cấu hình cho switch kiểm soát bão trên từng port. Mặc định, chế độ kiểm
soát bão trên switch bị tắt đi.
Để ngăn chặn bão quảng bá, chúng ta đặt một giá trị ngỡng cho port để huỷ
gói dữ liệu và đóng port khi giá trị ngỡng này bị vớt qua.
STP (Spanning - Tree Protocol) có một số sự cố bao gồm trận bão quảng bá,
lặp vòng, rớt gói BPDU va gói dữ liệu. Chức năng của STP là bảo đảm không có
vòng lặp tồn tại trong mạng bằng cách chọn ra một bridge gốc. Bridge gốc này là
điểm gốc của cấu trúc hình cây và nơi kiểm soát hoạt động của giao thức STP.
Nếu cần phải giảm lợng giao thông BPDU thì bạn sẽ cài đặt giá trị tối đa
cho các khoảng thời gian hoạt động của bridge gốc. Đặc biệt là bạn nên đặt giá trị
tối đa 30 giây cho khoảng thời gian chuyển trạng thái (Forward delay) và thời gian
chờ tối đa (max - age) là 40 giây.
Một port vật lý trên router hoặc switch có thể là thành viên của một hoặc
nhiều cấu trúc hình cây nếu port này kết nối vào đờng trunk.
Lu ý: VTP chỉ chạy trên Catalyst switch chứ không chạy trên router.
Trên switch kết nối vào router, bạn nên cấu hình cho switch đó chạy ở chế độ
VTP transparent cho đến khi nào Cisco hỗ trợ VTP trên router của họ.
Giao thức Spanning - Tree đợc xem là một trong những giao thức lớp 2
quan trọng nhất trên Catalyst switch. bằng cách ngăn chặn các vòng luận lý trong
mạng chuyển mạch, STP cho phép cấu trúc lớp 2 vẫn có các đờng d để dự phòng
mà không gây ra trân bão quảng bá.