1. Tổng quan VLAN
Mạng ảo được xem như các workgroup ảo, hoạt động độc lập với nhau trong 1 mạng. Các workgroup này giao tiếp với nhau giống như đang kết nối vật lý đến mạng. Tuy nhiên các VLAN không bị giới hạn bởi các ràng buộc phần cứng như các kết nối phân đoạn LAN vật lý truyền thống đến 1 mạng. Như vậy, VLAN cho phép người quản lý mạng phân khúc các mạng với cấu trúc logic, phân cấp. VLAN có thể định nghĩa theo ứng dụng hoặc bộ phận. Ví dụ, trong doanh nghiệp, 1 công ty có thể tạo 1 VLAN cho nhiều người dùng và 1 VLAN khác cho người dùng email; hoặc 1 công ty có thể có 1 VLAN cho bộ phận kỹ sư, 1 VLAN cho bộ phận marketing và 1 VLAN cho các khách hàng có thể truy cập Internet mà không thể truy cập vào mạng nội bộ. Ngoài ra VLAN có thể xây dựng theo cấu trúc tổ chức của công ty. Ví dụ, giám đốc của 1 công ty có thể có 1 VLAN riêng của anh ta, các trưởng bộ phận sẽ có 1 VLAN riêng khác và các nhân viên còn lại có thể có 1 VLAN khác. VLAN cũng có thể xây dựng theo các công ty khác nhau trong cùng 1 tòa nhà để tiết kiệm tiền và giảm việc thiết lập các thiết bị.
Hình bên dưới mô tả frame IEEE 802.1Q và các vị trí chèn trong frame Ethernet và 802.3. Nhãn 802.1Q chứa 3 bit ưu tiên và 12 bit VLAN ID. Ba bit ưu tiên dùng cho 802.1P. Switch Ethernet và các thiết bị khác phải có khả năng phân tích nhãn 802.1Q thì mới có thể sử dụng nhãn, nếu không sự hiện diện của nhãn sẽ gây ra lỗi.
2. VLAN Trunk
Đây là 1 phương pháp hiệu quả nhằm kết hợp nhiều VLAN trên 1 port cho phép kết nối nhiều switch để mở rộng mạng. Một VLAN trunk cũng cố chắc chắn lưu thông của nhiều VLAN thông qua 1 port vật lý.
3. Tại sao cần sử dụng VLAN
Bảo mật
VLAN là một truyền thông có kiểm soát. Một khi người dùng được đưa vào 1 VLAN, người đó chỉ có thể truyền thông với những thành viên trong nhóm VLAN đó.
Quản trị dễ dàng và linh họat
Thông thường, các subnet được định nghĩa bởi vị trí vật lý. Người dùng sẽ có cùng subnet trong cùng 1 vùng. Tuy nhiên, VLAN cho phép mỗi port trên router định nghĩa 1 subnet khác nhau. Như vậy người dùng trong cùng bộ phận nhưng ở các vị trí vật lý khác nhau vẫn sẽ nhận cùng 1 subnet địa chỉ IP.
Kiểm soát broadcast để cải thiên việc thực thi
Giao thức TCP/IP cũng như hầu hết các giao thức khác broadcast frame định kỳ để quảng bá hoặc tìm các tài nguyên mạng. Điều này có thể có ảnh hưởng đáng kể đến việc thực thi mạng với số người dùng lớn. VLAN có thể ngăn chặn việc lưu thông trên mạng bị tràn. Ngày nay, nhiều virus tấn công ảnh hưởng đến việc lưu thông mạng. Sử dụng VLAN để ngăn chặn khả năng mở rộng của virus.
4. Truyền thông LAN to LAN
Vigor3300 cho phép người dùng cấu hình truyền thông LAN to LAN. Thí dụ, 1 công ty có thể tạo nhiều subnet cho nhân viên và mong muốn họ có thể truyền thông với nhau. Người quản trị có thể cho phép truyền thông LAN to LAN. Mặc khác, 1 công ty không cho phép truyền thông giữa các bộ phận khác nhau. Người quản trị nên khóa truyền thông LAN to LAN.
Cấu hình firewall để cho phép hoặc khóa truyền thông LAN to LAN. Cấu hình dưới đây là khóa truyền thông giữa 2 VLAN khác nhau.
IP Filter Table
Edit Filter Rule
5. Quản lý port (Port management)
Tùy chọn Port Management có thể giúp người dùng luôn luôn truyền thông với router thậm trí ngay cả khi cấu hình sai trong VLAN 802.1Q. Port Management được cố định trên Port 4 của LAN. Người dùng nên kích hoạt port managament, loại trừ người muốn sử dụng cả 4 VLAN và phải đảm bảo cấu hình đúng.
ỨNG DỤNG 1
Một công ty muốn chia riêng bộ phận kỹ sư, bộ phận kinh doanh, bộ phận marketing và các bộ phận khác để giới hạn các bộ phận truyền thông với nhau và đảm bảo tính bảo mật. Vì vậy, chúng ta sẽ định nghĩa 4 VLAN là VLAN5, VLAN6, VLAN7 và VLAN8. Subnet của VLAN5 là 192.168.1.0, subnet của VLAN6 là 192.168.2.0, subnet của VLAN7 là 192.168.3.0 và subnet của VLAN8 là 192.168.4.0. Tuy nhiên các PC trong công ty không hỗ trợ 802.1Q.
Cấu hình:
- Khóa truyền thông LAN to LAN.
- Tạo nhóm VLAN5, VLAN6, VLAN7 và VLAN8.
- Trong VLAN5, nhập "5" vào VLAN ID. Trong vùng Member chọn P1. Sau đó chọn "Untaggged" trong Frame Tag Operation cho P1. Chúng ta nên cấu hình PVID (Port VLAN ID) là "5", bởi vì các PC không hỗ trợ VLAN 802.1Q.
- Trong VLAN6, nhập "6" vào VLAN ID. Trong vùng Member chọn P2. Sau đó chọn "Untaggged" trong Frame Tag Operation cho P2. Chúng ta nên cấu hình PVID là "6", bởi vì các PC không hỗ trợ VLAN 802.1Q
- Trong VLAN7, nhập "7" vào VLAN ID. Trong vùng Member chọn P3. Sau đó chọn "Untaggged" trong Frame Tag Operation cho P3. Chúng ta nên cấu hình PVID là "7", bởi vì các PC không hỗ trợ VLAN 802.1Q.
- Trong VLAN8, nhập "8" vào VLAN ID. Trong vùng Member chọn P4. Sau đó chọn "Untaggged" trong Frame Tag Operation cho P4. Chúng ta nên cấu hình PVID là "8", bởi vì các PC không hỗ trợ VLAN 802.1Q.
- Sau khi nhấn "Apply" sẽ mở ra trang web yêu cầu "reboot". Chúng ta có thể bỏ qua và tiếp tục cấu hình Network. Sau khi hoàn tất cấu hình Network, bạn có thể tiến hành reboot.
Chú ý: Sau khi reboot, port được gán nhãn (tagged port) chỉ có thể truyền thông với các thiết bị có hỗ trợ 802.1Q.
Trong Network >> LAN1, nhập vào subnet 192.168.1.0. Ví dụ, IP của VLAN5 là 192.168.1.1 và subnet 255.255.255.0. Như vậy, người dùng trong bộ phận kỹ thuật sẽ được đặt địa chỉ IP từ 192.168.1.2 đến 192.168.1.254.
Trong Network >> LAN2, nhập vào subnet 192.168.2.0. Ví dụ, IP của VLAN6 là 192.168.2.1 và subnet 255.255.255.0. Như vậy, người dùng trong bộ phận kinh doanh sẽ được đặt địa chỉ IP từ 192.168.2.2 đến 192.168.2.254.
Trong Network >> LAN3, nhập vào subnet 192.168.3.0. Ví dụ, IP của VLAN7 là 192.168.3.1 và subnet 255.255.255.0. Như vậy, người dùng trong bộ phận marketing sẽ được đặt địa chỉ IP từ 192.168.3.2 đến 192.168.3.254.
Trong Network >> LAN4, nhập vào subnet 192.168.4.0. Ví dụ, IP của VLAN8 là 192.168.4.1 và subnet 255.255.255.0. Như vậy, người dùng trong bộ phận khác sẽ được đặt địa chỉ IP từ 192.168.4.2 đến 192.168.4.254.
ỨNG DỤNG 2
Một công ty muốn chia riêng bộ phận kỹ sư và các bộ phận khác để giới hạn các bộ phận truyền thông với nhau và đảm bảo dữ liệu của các kỹ sư. Vì vậy, chúng ta định nghĩa 2 VLAN là VLAN5 và VLAN6, subnet VLAN5 là 192.168.1.0 và subnet VLAN6 là 192.168.2.0.
Cấu hình:
- Khóa truyền thông LAN to LAN.
- Tạo các nhóm VLAN5 và VLAN6.
- Trong VLAN5, nhập "5" vào VLAN ID. Trong vùng Member chọn P1 và P2. Sau đó chọn "Tagged" trong Frame Tag Operation cho P1 và P2. Chúng ta bỏ qua cấu hình PVID (Port VLAN ID), bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của bộ phận kỹ sư.
- Trong VLAN6, nhập "6" vào VLAN ID. Trong vùng Member chọn P3 và P4. Sau đó chọn "Tagged" trong Frame Tag Operation cho P3 và P4. Chúng ta bỏ qua cấu hình PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của các bộ phận khác.
- Sau khi "Apply" sẽ mở ra trang web "reboot". Chúng ta có thể bỏ qua và tiếp tục cấu hình Network. Sau khi hoàn tất cấu hình Network, bạn có thể tiến hành reboot.
Chú ý: Sau khi reboot, port được gán nhãn (tagged port) chỉ có thể truyền thông với các thiết bị có hỗ trợ 802.1Q.
Trong Network >> LAN1, nhập vào subnet 192.168.1.0. Ví dụ, IP LAN của VLAN5 là 192.168.1.1 và subnet là 255.255.255.0. Như vậy, người dùng trong bộ phận kỹ sư sẽ có địa chỉ IP từ 192.168.1.2 đến 192.168.1.254.
Trong Network >> LAN2, nhập vào subnet 192.168.2.0. Ví dụ, IP LAN của VLAN5 là 192.168.2.1 và subnet là 255.255.255.0. Như vậy, người dùng trong bộ phận khác sẽ có địa chỉ IP từ 192.168.2.2 đến 192.168.2.254.
ỨNG DỤNG 3
Có 4 công ty trong 1 tòa nhà. Họ muốn chia sẽ băng thông và sử dụng Vigor3300V để sử dụng các tính năng Load Balance, bảo mật và VoIP. Vì vậy, chúng ta nên cấu hình 4 VLAN là VLAN5, VLAN6, VLAN7 và VLAN8, subnet của VLAN5 là 192.168.1.0, subnet của VLAN6 là 192.168.2.0, subnet của VLAN7 là 192.168.3.0 và subnet của VLAN8 là 192.168.4.0.
Cấu hình:
- Khóa truyền thông LAN to LAN.
- Tạo các nhóm VLAN5, VLAN6, VLAN7, VLAN8.
- Trong VLAN5, nhập "5" vào VLAN ID. Trong vùng Member chọn P1 và P2. Sau đó chọn "Tagged" trong Frame Tag Operation cho P1. Chúng ta bỏ qua cấu hình PVID (Port VLAN ID), bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của bộ phận kỹ sư.
- Trong VLAN6, nhập "6" vào VLAN ID. Trong vùng Member chọn P2. Sau đó chọn "Tagged" trong Frame Tag Operation cho P2. Chúng ta bỏ qua PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của công ty B.
- Trong VLAN7, nhập "7" vào VLAN ID. Trong vùng Member chọn P3. Sau đó chọn "Tagged" trong Frame Tag Operation cho P3. Chúng ta bỏ qua PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của công ty C.
- Trong VLAN6, nhập "8" vào VLAN ID. Trong vùng Member chọn P4. Sau đó chọn "Tagged" trong Frame Tag Operation cho P4. Chúng ta bỏ qua PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của công ty D.
- Sau khi "Apply" sẽ mở ra trang web "reboot". Chúng ta có thể bỏ qua và tiếp tục cấu hình Network. Sau khi hoàn tất cấu hình Network, bạn có thể tiến hành reboot.
Chú ý: Sau khi reboot, port được gán nhãn (tagged port) chỉ có thể truyền thông với các thiết bị có hỗ trợ 802.1Q.
Cấu hình Network tương tự như ứng dụng 1.
ỨNG DỤNG 4
Một công ty muốn chia riêng bộ phận kỹ sư, bộ phận kinh doanh, bộ phận Marketing và các bộ phận khác để giới hạn các bộ phận truyền thông với nhau và đảm bảo tính bảo mật. Vì vậy, chúng ta sẽ định nghĩa 4 VLAN là VLAN5, VLAN6, VLAN7 và VLAN8. Subnet của VLAN5 là 192.168.1.0, subnet của VLAN6 là 192.168.2.0, subnet của VLAN7 là 192.168.3.0 và subnet của VLAN8 là 192.168.4.0. Tuy nhiên máy notebook của khách không hỗ trợ 802.1Q.
Cấu hình:
- Khóa truyền thông LAN to LAN.
- Tạo nhóm VLAN5, VLAN6, VLAN7, VLAN8.
- Trong VLAN5, nhập "5" vào VLAN ID. Trong vùng Member chọn P1.Sau đó chọn "Tagged" trong Frame Tag Operation cho P1. Chúng ta bỏ qua PVID (Port VLAN ID), bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của bộ phận kỹ sư.
- Trong VLAN6, nhập "6" vào VLAN ID. Trong vùng Member chọn P2. Sau đó chọn "Tagged" trong Frame Tag Operation cho P2. Chúng ta bỏ qua PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của bộ phận kinh doanh.
- Trong VLAN7, nhập "7" vào VLAN ID. Trong vùng Member chọn P3. Sau đó chọn "Tagged" trong Frame Tag Operation cho P3. Chúng ta bỏ qua PVID, bởi vì các PC có hỗ trợ VLAN 802.1Q, nhãn 802.1Q sẽ được chèn vào frame đến PC của bộ phận marketing.
- Trong VLAN8, nhập "8" vào VLAN ID. Trong vùng Member chọn P4. Sau đó chọn "Untagged" trong Frame Tag Operation cho P4. Chúng ta nên cấu hình PVID là "8", bởi vì máy notebook của khách không hỗ trợ VLAN 802.1Q.
- Sau khi "Apply" sẽ mở ra trang web "reboot". Chúng ta có thể bỏ qua và tiếp tục cấu hình Network. Sau khi hoàn tất cấu hình Network, bạn có thể tiến hành reboot.
Chú ý: Sau khi reboot, port được gán nhãn (tagged port) chỉ có thể truyền thông với các thiết bị có hỗ trợ 802.1Q.
Cấu hình Network tương tự như ứng dụng 1.
ỨNG DỤNG 5
Một công ty muốn chia bộ kỹ sư, bộ phận kinh doanh, bộ phận Marketing và các bộ phận khác để giới hạn các bộ phận truyền thông lẫn nhau và đảm bảo tính bảo mật. Nhiều nhân viên của công ty sử dụng switch hỗ trợ VLAN 802.1Q để triển khai mạng. Vì vậy chúng ta định nghĩa 4 VLAN là VLAN5, VLAN6, VLAN7 và VLAN8, mỗi LAN port là Trunk port (port hỗ trợ nhiều VLAN), subnet VLAN5 là 192.168.1.0, subnet VLAN6 là 192.168.2.0, subnet VLAN7 là 192.168.3.0, subnet VLAN8 là 192.168.4.0.
Cấu hình:
- Khoá truyền thông LAN to LAN.
- Tạo các nhóm VLAN5, VLAN6, VLAN7 và VLAN8.
- Trong VLAN5, nhập vào VLAN ID là "5". Trong vùng Member, chọn P1, P2, P3 và P4. Sau đó chon "Tagged" trong Frame Tag Operation cho P1, P2, P3, P4. Chúng ta bỏ qua cấu hình PVI (Port VLAN ID), bởi vì switch có hỗ trợ VLAN 802.1Q.
- Trong VLAN6, nhập vào VLAN ID là "6". Trong vùng Member, chọn P1, P2, P3 và P4. Sau đó chon "Tagged" trong Frame Tag Operation cho P1, P2, P3, P4. Chúng ta bỏ qua cấu hình PVI, bởi vì switch có hỗ trợ VLAN 802.1Q.
- Trong VLAN7, nhập vào VLAN ID là "7". Trong vùng Member, chọn P1, P2, P3 và P4. Sau đó chon "Tagged" trong Frame Tag Operation cho P1, P2, P3, P4. Chúng ta bỏ qua cấu hình PVI, bởi vì switch có hỗ trợ VLAN 802.1Q.
- Trong VLAN8, nhập vào VLAN ID là "8". Trong vùng Member, chọn P1, P2, P3 và P4. Sau đó chon "Tagged" trong Frame Tag Operation cho P1, P2, P3, P4. Chúng ta bỏ qua cấu hình PVI, bởi vì PC có hỗ trợ VLAN 802.1Q.
- Sau khi "Apply" sẽ mở ra trang web "reboot". Chúng ta có thể bỏ qua và tiếp tục cấu hình Network. Sau khi hoàn tất cấu hình Network, bạn có thể tiến hành reboot.
Chú ý: Sau khi reboot, port được gán nhãn (tagged port) chỉ có thể truyền thông với các thiết bị có hỗ trợ 802.1Q.
Chúc các bạn thành công. Mọi thắc mắc xin vui lòng liên hệ với chúng tôi.
Hãy liên lạc với chúng tôi để được hỗ trợ
Văn phòng TPHCM (028) 3925 3789
Chi nhánh miền Bắc (024) 3781 5089
Chi nhánh miền Trung (0236) 367 9515
Hotline Hỗ trợ Kỹ thuật: 1900.633.641