Như trong bài: một số trong những chiến thuật bảo mật mạng, tôi có ý kiến đề xuất phương án VLAN (VLAN – Virtual Local Area Network), ngày hôm nay mở màn cho 1 chuỗi các nội dung bài viết chi tiết cụ thể các chiến thuật trên, tôi xin đi vào phương án VLAN
1. Giới thiệu
Trước hết cần nhắc lại về mạng LAN. Mạng LAN là một trong mạng cục bộ (viết tắt của Local Area Network), được định có nghĩa là tất cả các máy vi tính trong cùng một miền quảng bá (broadcast domain). Cần hãy nhớ là các router (bộ định tuyến) chặn bản tin quảng bá, trong những khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.
mô hình mạng không tồn tại VLAN là 1 trong những mạng phẳng (flat network) vì nó chuyển động chuyển mạch ở Lớp 2. Một mạng phẳng là một trong miền quảng bá (broadcast), mỗi gói tiếp thị từ là một host gì đó đều đến được những host còn sót lại trong mạng. Mỗi cổng trong switch là một trong những miền đụng độ (collision), chính vì như thế người ta sử dụng switch để chia nhỏ miền collision, nhưng nó không ngăn được miền quảng bá.
luận điểm băng thông: trong 1 số tình huống một mạng Campus ở lớp 2 có thể mở thêm một số tòa nhà cao tầng nữa, hay 1 số người tiêu dùng tăng lên thì nhu yếu sử dụng băng thông cũng tăng, cho nên vì thế khả thi của mạng cũng giảm.
>>> Xem thêm: bán dell hp dl360 gen 10
luận điểm bảo mật: mỗi người dùng nào thì cũng rất có thể thấy các người dùng khác trong cùng một mạng phẳng (flat network), cho nên rất khó bảo mật.
vấn đề về thăng bằng tải: trong mạng phẳng ta không thể tiến hành truyền trên nhiều đường đi, vì lúc đó mạng dễ bị vòng lặp, tạo nên cơn lốc quảng bá (broadcast storm) ảnh hưởng đến băng thông của đường truyền. Do đó không hề chia tải (còn gọi là cân bằng tải).
Để giải quyết luận điểm trên, ta đề ra giải pháp VLAN. VLAN (Virtual Local Area Network) được định nghĩa là một tổ ngắn gọn xúc tích các dòng thiết bị mạng, và được cài đặt dựa vào các yếu tố như chức năng, bộ phận, ứng dụng…của Doanh Nghiệp. Mỗi VLAN là một trong mạng con logic được tạo thành trên switch, còn gọi là đoạn hay miền quảng bá
(broadcast).
Như đã trình làng ở trên, VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một trong miền tiếp thị được tạo bởi các switch. Thông thường thì router đóng vai tạo nên miền quảng bá.
Để làm rõ hơn về VLAN ta cùng tiến hành một số trong những ví dụ sau:
Ví dụ 1:
Ta có những lệnh chia VLAN:
Cách chia VLAN trên 1 Switch:
Bước 1: Kiểm tra thông báo Vlan mặc định trên Switch bằng lệnh Show Vlan
Bước 2: Ta tăng lên Vlan 2 trên Switch(config)#vlan 2
hoàn toàn có thể đặt tên cho Vlan này
Switch(config-vlan)#name ketoan
Switch(config-vlan)#exit
>>> Xem thêm: Dell R640
Bước 3:
Gán các port vào VLAN 2 vừa tạo
Switch(config)#int range f0/3 – f0/4
Switch(config-if-range)#switchport access vlan 2
Bước 4: Kiếm tra lại thông tin Vlan
& như hình chúng ta thấy 2 port f0/3 & f0/4 đã thuộc VLAN 2
Bước 5:
tiến hành đặt địa chỉ IP cho những P như sơ đồ
Tại PC0 ta có thể ping thấy PC1 và không thể thấy PC2 & PC3, và tương tự như PC2 thấy PC3 không có thấy gì PC0 và PC1
Ví dụ 2: Vlan trên nhiều Switch
Port f0/3 & f0/4 đang thuộc VLAN 2
Trên Sw2 ta có
ta có port 1-2 đang thuộc VLAN 1;
Port f0/3 và f0/4 đang thuộc VLAN 2
2 Switch đang kết nối với nhau bới 2 dây f0/5 & f0/6 trên 2 đâu switch
Vậy để sao để cho 2 Phường của VLAN 1 trên SW1 có thể thông với 2 P của VLAN1 trên SW2 và các P của VLAN 2 cũng thông nhau
Theo nguyên lý là các port mà có cùng VLAN là rất có thể thông nhau, vậy ta ta có port f0/5 của 2 switch là đang thuộc VLAN 1 (mặc định) nên chắc hẳn rằng các Port f0/1, f0/2, f0/5 trên 2 switch là có thể liên lạc với nhau vì cùng VLAN 1
Còn các port f0/3, f0/4 trên 2 switch không còn gọi điện liên lạc được với nhau vì có f0/6 liên kết 2 switch lại khác VLAN (f0/6 thuộc VLAN 1; f0/3, f0/4 thuộc VLAN 2)
Vậy ta hoàn toàn có thể đưa f0/6 trên 2 đầu switch vào VLAN 2 là các Phường thuộc Vlan có thể thông nhau.
như vậy ta hoàn toàn có thể đã có được mục tiêu là các laptop thuộc VLAN 1 thông với nhau và các Phường thuộc VLAN 2 thông với nhau trên 2 switch.
Nhận xét:
Với cách thức này ta thấy là để các VLAN trên nhiều switch thông nhau chúng ta cần không ít dây liên kết giữa các switch, như loại hình trên ta cần tới 2 dây, nếu có 3 vlan ta cần 3 dây, có 10 vlan cần 10 dây…vậy phương thức này giúp ta nắm rõ nguyên tắc chứ trên thực chất ta có công nghệ tiên tiến Trungking để giải quyết và xử lý vấn đề này.
1.2 TRUNK
Một đường Trunk là 1 trong những liên kết từ Switch này sang switch khác để hỗ trợ các VLAN trên các switch link với nhau. Một đường được cấu hình Trunk sẽ gộp nhiều link ảo trên một links vật lý để chuyển tín hiệu từ các VLAN trên các switch với nhau dựa vào một đường cáp vật lý.
Mỗi port của Switch có một trong những mode sau: Access, Trunk, Dynamic; mặc định thì các port đều phải sở hữu mode access, mỗi port chỉ thuộc 1 vlan mà thôi. Khi port đang ở mode access thì chỉ được cho phép các frame có vùng VLAN qua port mà thôi.
Như ví dụ 2 ta thấy dây liên kết f0/5 trên 2 switch chỉ cho VLAN 1 từ switch này sang switch khác; dây f0/6 nối 2 switch chỉ cho VLAN 2 từ switch này sang switch khác.
Ta cần dây hoàn toàn có thể cho những VLAN khác đi qua thì port kết nối đó phải ở chính sách TRUNK
- Khi port có cơ chế TRUNK thì port đó không thuộc vào VLAN khác.
- Lệnh chuyển port từ mode access sang mode trunk:
+ đối với swlayer2 thì chỉ cần:
Switch(config)#int f0/5
Switch(config-if)#switchport mode trunk
+ đối với switch layer 3:
Switch(config-if)#switchpor trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk
như vậy với mô hình trên ta chỉ việc một dây (ta lấy f0/5) & chuyển f0/5 sang mode trunk.
sau khi chuyển sang mode trunk ta rất có thể xem thông báo về trunk bằng lệnh
và hiện nay ta hoàn toàn có thể kiểm tra sự thông nhau giữa các P. Thuộc cùng số hiệu VLAN
>>> Xem thêm: lenovo thinksystem SR530
| © Copyright 2011-2013 iSoftco®, All rights reserved Văn phòng công ty: P.16/706, Tòa nhà Thành Công, 57 Láng Hạ, phường Thành Công, quận Ba Đình, Hà Nội Tel: (84-4) 37 875018;(84-4) 3555 8604 | Fax: (84-4) 37 875017 | E-Mail: cho24h@isoftco.com |