Cách thiết lập mạng LAN ảo (VLAN)

VLAN có ở khắp mọi nơi. Bạn có thể tìm thấy chúng trong hầu hết các tổ chức có mạng được định cấu hình thích hợp. Trong trường hợp không rõ ràng, VLAN là viết tắt của “Mạng cục bộ ảo” và chúng có mặt ở khắp mọi nơi trong bất kỳ mạng hiện đại nào ngoài quy mô của một mạng gia đình nhỏ hoặc mạng văn phòng rất nhỏ.

Có một vài giao thức khác nhau, nhiều giao thức dành riêng cho nhà cung cấp, nhưng cốt lõi của nó, mọi VLAN đều làm được nhiều điều giống nhau và lợi ích của VLAN sẽ mở rộng khi mạng của bạn phát triển về quy mô và độ phức tạp của tổ chức.

Những lợi thế đó là một phần lớn lý do tại sao các VLAN được các mạng chuyên nghiệp ở mọi quy mô phụ thuộc rất nhiều. Trên thực tế, sẽ rất khó để quản lý hoặc mở rộng mạng lưới nếu không có chúng.

Lợi ích và khả năng mở rộng của VLAN giải thích lý do tại sao chúng trở nên phổ biến trong môi trường mạng hiện đại. Sẽ rất khó để quản lý hoặc mở rộng quy mô các mạng thậm chí phức tạp vừa phải với người sử dụng VLAN.

VLAN là gì?

Được rồi, vậy bạn đã biết từ viết tắt, nhưng chính xác thì VLAN là gì? Khái niệm cơ bản nên quen thuộc với bất kỳ ai đã làm việc với hoặc sử dụng máy chủ ảo.

Hãy suy nghĩ một chút về cách các máy ảo hoạt động. Nhiều máy chủ ảo nằm trong một phần cứng vật lý đang chạy hệ điều hành và trình siêu giám sát để tạo và chạy các máy chủ ảo trên một máy chủ vật lý duy nhất. Thông qua ảo hóa, bạn có thể biến một máy tính vật lý thành nhiều máy tính ảo, mỗi máy tính có sẵn cho các tác vụ và người dùng riêng biệt.

Mạng LAN ảo hoạt động giống như các máy chủ ảo. Một hoặc nhiều bộ chuyển mạch được quản lý chạy phần mềm (tương tự như phần mềm hypervisor) cho phép các bộ chuyển mạch tạo nhiều bộ chuyển mạch ảo trong một mạng vật lý.

Mỗi công tắc ảo là một mạng khép kín của riêng nó. Sự khác biệt chính giữa máy chủ ảo và mạng LAN ảo là mạng LAN ảo có thể được phân phối trên nhiều phần cứng vật lý bằng một cáp được chỉ định gọi là đường trục.

Làm thế nào nó hoạt độngChuyển mạch 24 cổng

Hãy tưởng tượng rằng bạn đang điều hành một mạng lưới cho một doanh nghiệp nhỏ đang phát triển, thêm nhân viên, chia thành các phòng ban riêng biệt và trở nên phức tạp và có tổ chức hơn.

Để đáp ứng những thay đổi này, bạn đã nâng cấp lên bộ chuyển đổi 24 cổng để phù hợp với các thiết bị mới trên mạng.

Bạn có thể cân nhắc việc chỉ chạy cáp ethernet cho từng thiết bị mới và gọi tác vụ đã hoàn thành, nhưng vấn đề là việc lưu trữ tệp và các dịch vụ đang được sử dụng bởi mỗi bộ phận phải được giữ riêng biệt. VLAN là cách tốt nhất để làm điều đó.

Trong giao diện web của công tắc, bạn có thể định cấu hình ba VLAN riêng biệt, một cho mỗi bộ phận. Cách đơn giản nhất để chia chúng là theo số cổng. Bạn có thể chỉ định Cổng 1-8 cho bộ phận đầu tiên, gán các cổng 9-16 cho bộ phận thứ hai và cuối cùng chỉ định các cổng 17-24 g cho bộ phận cuối cùng. Bây giờ bạn đã tổ chức mạng vật lý của mình thành ba mạng ảo.

Phần mềm trên switch có thể quản lý lưu lượng giữa các máy khách trong mỗi VLAN. Mỗi VLAN hoạt động như một mạng riêng của nó và không thể tương tác trực tiếp với các VLAN khác. Giờ đây, mỗi bộ phận đều có mạng nhỏ hơn, ít lộn xộn hơn và hiệu quả hơn, và bạn có thể quản lý tất cả chúng thông qua cùng một phần cứng. Đây là một cách rất hiệu quả và tiết kiệm chi phí để quản lý mạng.

Khi bạn cần các phòng ban có thể tương tác, bạn có thể yêu cầu họ làm như vậy thông qua bộ định tuyến trên mạng. Bộ định tuyến có thể điều chỉnh và kiểm soát lưu lượng giữa các VLAN và thực thi các quy tắc bảo mật mạnh mẽ hơn.

Trong nhiều trường hợp, các bộ phận sẽ cần phải làm việc cùng nhau và tương tác. Bạn có thể thực hiện giao tiếp giữa các mạng ảo thông qua bộ định tuyến, thiết lập các quy tắc bảo mật để đảm bảo tính bảo mật và quyền riêng tư thích hợp của các mạng ảo riêng lẻ.

VLAN so với mạng con

VLAN và mạng con thực sự khá giống nhau và phục vụ các chức năng tương tự. Cả mạng con và VLAN đều phân chia mạng và miền quảng bá. Trong cả hai trường hợp, tương tác giữa các phân khu chỉ có thể xảy ra thông qua một bộ định tuyến.

Sự khác biệt giữa chúng nằm ở hình thức triển khai và cách chúng thay đổi cấu trúc mạng.

Địa chỉ IP mạng con

Mạng con tồn tại ở Lớp 3 của Mô hình OSI, lớp mạng. Mạng con là một cấu trúc cấp độ mạng và được xử lý với bộ định tuyến, tổ chức xung quanh địa chỉ IP.

Các bộ định tuyến cắt ra các dải địa chỉ IP và thương lượng các kết nối giữa chúng. Điều này đặt tất cả sự căng thẳng của việc quản lý mạng lên bộ định tuyến. Mạng con cũng có thể trở nên phức tạp khi mạng của bạn mở rộng quy mô và độ phức tạp.

VLAN

Các VLAN tìm thấy ngôi nhà của chúng trên Lớp 2 của Mô hình OSI. Mức liên kết dữ liệu gần với phần cứng hơn và ít trừu tượng hơn. Mạng LAN ảo giả lập phần cứng hoạt động như các thiết bị chuyển mạch riêng lẻ.

Tuy nhiên, các mạng LAN ảo có thể chia nhỏ các miền quảng bá mà không cần kết nối lại với bộ định tuyến, giúp bộ định tuyến giảm bớt một số gánh nặng quản lý.

Bởi vì VLAN là mạng ảo của riêng chúng, chúng phải hoạt động giống như một bộ định tuyến tích hợp sẵn. Do đó, các VLAN chứa ít nhất một mạng con và có thể hỗ trợ nhiều mạng con.

VLAN phân phối tải mạng và. nhiều bộ chuyển mạch có thể xử lý lưu lượng trong các VLAN mà không liên quan đến bộ định tuyến, giúp tạo ra một hệ thống hiệu quả hơn.

Ưu điểm của VLAN

Bây giờ, bạn đã thấy một số lợi thế mà VLAN mang lại. Chỉ bằng những gì họ làm, các VLAN có một số thuộc tính có giá trị.

VLAN giúp bảo mật. Việc phân chia lưu lượng hạn chế mọi cơ hội truy cập trái phép vào các phần của mạng. Nó cũng giúp ngăn chặn sự lây lan của phần mềm độc hại, nếu bất kỳ phần mềm nào tìm thấy đường vào mạng. Những kẻ xâm nhập tiềm năng không thể sử dụng các công cụ như Wireshark để phát hiện các gói trên bất kỳ nơi nào ngoài mạng LAN ảo mà chúng đang sử dụng, đồng thời hạn chế mối đe dọa đó.

Hiệu quả mạng là một vấn đề lớn. Nó có thể tiết kiệm hoặc chi phí cho một doanh nghiệp hàng nghìn đô la để triển khai các VLAN. Việc chia nhỏ các miền quảng bá làm tăng đáng kể hiệu quả mạng bằng cách hạn chế số lượng thiết bị tham gia giao tiếp cùng một lúc. VLAN giảm nhu cầu triển khai bộ định tuyến để quản lý mạng.

Thông thường, các kỹ sư mạng chọn xây dựng mạng LAN ảo trên cơ sở từng dịch vụ, tách biệt lưu lượng mạng quan trọng hoặc chuyên sâu như Mạng vùng lưu trữ (SAN) hoặc Thoại qua IP (VOIP). Một số thiết bị chuyển mạch cũng cho phép quản trị viên ưu tiên các VLAN, cung cấp nhiều tài nguyên hơn cho lưu lượng truy cập cần thiết và thiếu quan trọng hơn.

VLAN rất quan trọng

Sẽ thật khủng khiếp nếu cần phải xây dựng một mạng vật lý độc lập để tách biệt lưu lượng truy cập. Hãy tưởng tượng một mớ dây chằng chịt mà bạn phải đấu tranh để thực hiện thay đổi. Điều đó không có nghĩa lý gì đối với việc tăng chi phí phần cứng và tiêu thụ điện năng. Nó cũng sẽ rất khó linh hoạt. VLAN giải quyết tất cả những vấn đề này bằng cách ảo hóa nhiều bộ chuyển mạch trên một phần cứng.

VLAN cung cấp mức độ linh hoạt cao cho người quản trị mạng thông qua giao diện phần mềm thuận tiện. Nói hai bộ phận chuyển văn phòng. Nhân viên CNTT có phải di chuyển xung quanh phần cứng để thích ứng với sự thay đổi không? Không. Họ chỉ có thể gán lại các cổng trên bộ chuyển mạch cho đúng các VLAN. Một số cấu hình VLAN thậm chí sẽ không yêu cầu điều đó. Chúng sẽ thích ứng một cách linh hoạt. Các VLAN này không yêu cầu các cổng được chỉ định. Thay vào đó, chúng dựa trên địa chỉ MAC hoặc IP. Dù bằng cách nào, không cần xáo trộn công tắc hoặc cáp. Sẽ hiệu quả và tiết kiệm chi phí hơn nhiều nếu triển khai giải pháp phần mềm để thay đổi vị trí của mạng hơn là di chuyển phần cứng vật lý.

VLAN tĩnh so với động

Có hai loại VLAN cơ bản, được phân loại theo cách máy móc được kết nối với chúng. Mỗi loại có điểm mạnh và điểm yếu cần được tính đến dựa trên tình hình mạng cụ thể.

VLAN tĩnh

VLAN tĩnh thường được gọi là VLAN dựa trên cổng vì các thiết bị tham gia bằng cách kết nối với một cổng được chỉ định. Hướng dẫn này chỉ sử dụng VLAN tĩnh làm ví dụ cho đến nay.

Khi thiết lập một mạng với các VLAN tĩnh, một kỹ sư sẽ chia một bộ chuyển mạch theo các cổng của nó và gán mỗi cổng cho một VLAN. Bất kỳ thiết bị nào kết nối với cổng vật lý đó sẽ tham gia VLAN đó.

Các VLAN tĩnh cung cấp các mạng rất đơn giản và dễ cấu hình mà không cần phụ thuộc quá nhiều vào phần mềm. Tuy nhiên, rất khó để hạn chế quyền truy cập trong một vị trí thực vì một cá nhân có thể chỉ cần cắm vào. VLAN tĩnh cũng yêu cầu quản trị viên mạng thay đổi chỉ định cổng trong trường hợp ai đó trên mạng thay đổi vị trí thực.

VLAN động

Các VLAN động phụ thuộc rất nhiều vào phần mềm và cho phép mức độ linh hoạt cao. Quản trị viên có thể gán địa chỉ MAC và IP cho các VLAN cụ thể, cho phép di chuyển không bị cản trở trong không gian vật lý. Các máy trong mạng LAN ảo động có thể di chuyển đến bất kỳ đâu trong mạng và vẫn ở trên cùng một VLAN.

Mặc dù các VLAN động là không thể đánh bại về khả năng thích ứng, nhưng chúng có một số nhược điểm nghiêm trọng. Một bộ chuyển mạch cao cấp phải đảm nhận vai trò của một máy chủ được gọi là Máy chủ Chính sách Quản lý VLAN (VMPS (để lưu trữ và cung cấp thông tin địa chỉ đến các bộ chuyển mạch khác trên mạng. VMPS, giống như bất kỳ máy chủ nào, yêu cầu quản lý và bảo trì thường xuyên và có thể có thời gian chết.

Những kẻ tấn công có thể giả mạo địa chỉ MAC và giành quyền truy cập vào các VLAN động, thêm một thách thức bảo mật tiềm ẩn khác.

Thiết lập một VLAN

Những gì bạn cần

Có một số mục cơ bản mà bạn cần thiết lập một VLAN hoặc nhiều VLAN. Như đã nêu trước đây, có một số tiêu chuẩn khác nhau, nhưng tiêu chuẩn phổ biến nhất là IEEE 802.1Q. Đó là một trong những ví dụ này sẽ làm theo.

Bộ định tuyến

Về mặt kỹ thuật, bạn không cần bộ định tuyến để thiết lập một VLAN, nhưng nếu bạn muốn nhiều VLAN tương tác, bạn sẽ cần một bộ định tuyến.

Nhiều bộ định tuyến hiện đại hỗ trợ chức năng VLAN ở một số hình thức hay hình thức khác. Bộ định tuyến gia đình có thể không hỗ trợ VLAN hoặc chỉ hỗ trợ nó trong một dung lượng hạn chế. Phần sụn tùy chỉnh như DD-WRT hỗ trợ nó triệt để hơn.

Nói về tùy chỉnh, bạn không cần một bộ định tuyến có sẵn để hoạt động với các mạng LAN ảo của mình. Phần sụn bộ định tuyến tùy chỉnh thường dựa trên Hệ điều hành giống Unix như Linux hoặc FreeBSD, vì vậy bạn có thể xây dựng bộ định tuyến của riêng mình bằng cách sử dụng một trong các hệ điều hành nguồn mở đó.

Tất cả các chức năng định tuyến mà bạn cần đều có sẵn cho Linux và bạn có thể tùy chỉnh cấu hình cài đặt Linux để điều chỉnh tạo bộ định tuyến phục vụ các nhu cầu cụ thể của bạn. Để có thứ gì đó hoàn thiện hơn về tính năng, hãy xem pfSense. pfSense là một bản phân phối tuyệt vời của FreeBSD được xây dựng để trở thành một giải pháp định tuyến mã nguồn mở mạnh mẽ. Nó hỗ trợ VLAN và bao gồm tường lửa để bảo mật tốt hơn lưu lượng giữa các mạng ảo của bạn.

Cho dù bạn chọn tuyến nào, hãy đảm bảo rằng nó hỗ trợ các tính năng VLAN mà bạn cần.

Công tắc được quản lý

Bộ chuyển mạch là trung tâm của mạng VLAN. Họ là nơi điều kỳ diệu xảy ra. Tuy nhiên, bạn cần một công tắc được quản lý để tận dụng chức năng của VLAN.

Theo nghĩa đen, để đưa mọi thứ lên một cấp độ cao hơn, có sẵn các công tắc được quản lý Lớp 3. Các thiết bị chuyển mạch này có thể xử lý một số lưu lượng mạng Lớp 3 và có thể thay thế bộ định tuyến trong một số tình huống.

Điều quan trọng cần lưu ý là các thiết bị chuyển mạch này không phải là bộ định tuyến và chức năng của chúng bị hạn chế. Các thiết bị chuyển mạch lớp 3 làm giảm khả năng xảy ra độ trễ của mạng, vốn có thể rất quan trọng trong một số môi trường mà điều quan trọng là phải có mạng có độ trễ rất thấp.

Thẻ giao diện mạng máy khách (NIC)

Các NIC mà bạn sử dụng trên máy khách của mình phải hỗ trợ 802.1Q. Rất có thể, họ có, nhưng đó là điều cần xem xét trước khi tiếp tục.

Cấu hình cơ bản

Đây là phần khó. Có hàng ngàn khả năng khác nhau về cách bạn có thể cấu hình mạng của mình. Không có hướng dẫn duy nhất có thể bao gồm tất cả chúng. Về cơ bản, ý tưởng đằng sau hầu hết mọi cấu hình đều giống nhau, và quy trình chung cũng vậy.

Thiết lập bộ định tuyến

Bạn có thể bắt đầu theo một số cách khác nhau. Bạn có thể kết nối bộ định tuyến với từng công tắc hoặc từng VLAN. Nếu bạn chỉ chọn mỗi công tắc, bạn sẽ cần phải định cấu hình bộ định tuyến để phân biệt lưu lượng.

Sau đó, bạn có thể định cấu hình bộ định tuyến của mình để xử lý lưu lượng truyền giữa các VLAN.

Cấu hình các công tắc

VLAN cần thiết bị chuyển mạch

Giả sử rằng đây là các VLAN tĩnh, bạn có thể nhập tiện ích quản lý VLAN của công tắc thông qua giao diện web của nó và bắt đầu gán các cổng cho các VLAN khác nhau. Nhiều thiết bị chuyển mạch sử dụng bố cục bảng cho phép bạn kiểm tra các tùy chọn cho các cổng.

Nếu bạn đang sử dụng nhiều bộ chuyển mạch, hãy chỉ định một trong các cổng cho tất cả các VLAN của bạn và đặt nó làm cổng trung kế. Làm điều này trên mỗi công tắc. Sau đó, sử dụng các cổng đó để kết nối giữa các thiết bị chuyển mạch và trải rộng các VLAN của bạn trên nhiều thiết bị.

Kết nối khách hàng

Cuối cùng, việc thu hút khách hàng trên mạng là điều khá dễ hiểu. Kết nối máy khách của bạn với các cổng tương ứng với VLAN mà bạn muốn chúng trên đó.

VLAN tại nhà

Mặc dù nó có thể không được coi là một sự kết hợp hợp lý, nhưng thực sự VLAN có một ứng dụng tuyệt vời trong không gian mạng gia đình, mạng khách. Nếu bạn không muốn thiết lập mạng WPA2 Enterprise trong nhà của mình và tạo thông tin đăng nhập riêng lẻ cho bạn bè và gia đình của mình, bạn có thể sử dụng VLAN để hạn chế quyền truy cập của khách vào các tệp và dịch vụ trên mạng gia đình của bạn.

Nhiều bộ định tuyến gia đình cao cấp hơn và phần sụn bộ định tuyến tùy chỉnh hỗ trợ tạo các VLAN cơ bản. Bạn có thể thiết lập một VLAN khách với thông tin đăng nhập của riêng nó để cho phép bạn bè của bạn kết nối thiết bị di động của họ. Nếu bộ định tuyến của bạn hỗ trợ nó, thì VLAN khách là một lớp bảo mật bổ sung tuyệt vời để ngăn máy tính xách tay nhiễm vi-rút của bạn bè bạn phá hỏng mạng sạch của bạn.