Mục Lục
Layer 2 Address (MAC Address)
Hoạt Động Của Switch
VLAN (Virtual Local Area Network)
Access và Trunking
VLAN Tagging - IEEE 802.1Q
1. Layer 2 Address (MAC Address)
Layer 2 Address, hay còn gọi là địa chỉ MAC (Media Access Control), là một địa chỉ duy nhất được gán cho mỗi card mạng (NIC). Nó giúp xác định thiết bị trong một mạng LAN mà không cần phụ thuộc vào địa chỉ IP.Cấu trúc của MAC Address:
Địa chỉ MAC có độ dài 48 bit (6 byte), thường được biểu diễn dưới dạng hexadecimal như sau:
Ví dụ: 00:1A:2B:3C:4D:5E
Địa chỉ MAC được chia thành 2 phần:
- OUI (Organizationally Unique Identifier - 24 bit đầu): Được cấp bởi IEEE, giúp xác định nhà sản xuất (VD: Intel, Cisco, TP-Link, v.v.).
- NIC Specific (24 bit cuối): Được nhà sản xuất sử dụng để định danh từng thiết bị cụ thể.
- MAC Address Unicast: Địa chỉ MAC thông thường của một thiết bị.
- MAC Address Multicast: Địa chỉ có dạng 01:00:5E:xx:xx:xx, dùng để gửi dữ liệu đến nhiều thiết bị.
- MAC Address Broadcast: FF:FF:FF:FF:FF:FF, dùng để gửi dữ liệu đến tất cả các thiết bị trong mạng LAN.
- Giúp Switch xác định thiết bị đích trong mạng LAN.
- Được sử dụng trong quá trình chuyển tiếp frame (khung dữ liệu) giữa các thiết bị.
2. Hoạt Động Của Switch
Switch là thiết bị mạng hoạt động ở Layer 2 của mô hình OSI, đóng vai trò chuyển tiếp frame dựa trên địa chỉ MAC.Chức năng chính của Switch
- Học địa chỉ MAC (MAC Learning): Khi Switch nhận một frame từ một port, nó sẽ kiểm tra địa chỉ MAC nguồn và lưu vào MAC Address Table với thông tin port tương ứng.
- Chuyển tiếp frame (Frame Forwarding):
- Nếu địa chỉ MAC đích có trong MAC Address Table, Switch sẽ gửi frame qua đúng port.
- Nếu chưa có địa chỉ MAC đích, Switch sẽ flood frame đến tất cả cổng (trừ port nhận vào).
- Ngăn chặn vòng lặp (Loop Prevention): Mạng có thể gặp lỗi nếu frame bị lặp vô hạn. Spanning Tree Protocol (STP) giúp ngăn chặn điều này bằng cách vô hiệu hóa các kết nối dư thừa.
- Tăng hiệu suất với Full-Duplex: Switch hỗ trợ Full-Duplex, cho phép gửi và nhận dữ liệu đồng thời, cải thiện tốc độ truyền.
3. VLAN (Virtual Local Area Network)
VLAN là một khái niệm cho phép chúng ta chia các thiết bị trên Layer 2 (data link layer) một cách logic. Thay vì chia mạng dựa trên thiết bị Layer 3 (router), VLAN cho phép switch chia nhỏ broadcast domain.Broadcast Domain:
- Là một phần mạng mà nếu một thiết bị gửi một gói tin boardcast, tất cả các thiết bị trong cùng broadcast domain đó sẽ nhận được.
- Switch giới hạn broadcast domain, router không chuyển tiếp gói tin boardcast giữa các mạng.
- Để chuyển tiếp gói tin giữa các VLAN (từ VLAN này sang VLAN khác) hoặc các broadcast domain, cần sử dụng inter-VLAN routing.
- VLAN 0, 4095: VLAN dự trữ, không thể sử dụng.
- VLAN 1: VLAN mặc định của switch, tất cả các cổng switch mặc định đều thuộc VLAN này, không thể xóa hoặc chỉnh sửa, nhưng có thể sử dụng.
- VLAN 2-1001: Phạm vi VLAN thông thường, có thể tạo, chỉnh sửa và xóa.
- VLAN 1002-1005: VLAN mặc định của Cisco cho FDDI và Token Ring, không thể xóa.
- VLAN 1006-4094: Phạm vi VLAN mở rộng.
3.1. Tại sao cần VLAN?
- Bảo mật cao hơn: Cách ly traffic giữa các nhóm thiết bị.
- Giảm broadcast domain: Giúp giảm tải mạng.
- Dễ quản lý: Chia VLAN theo phòng ban, ứng dụng hoặc bảo mật.
- Tính linh hoạt: Cấu hình động, dễ điều chỉnh.
- Tiết kiệm chi phí: Chia sẻ hạ tầng mạng vật lý.
- Khả năng mở rộng: Phân đoạn mạng thành các nhóm nhỏ hơn.
3.2. Các tính năng chính của VLAN
- VLAN tagging: Xác định và phân biệt lưu lượng VLAN.
- VLAN membership: Xác định thiết bị nào thuộc VLAN nào.
- VLAN trunking: Truyền tải nhiều VLAN qua một liên kết vật lý.
- VLAN management: Cấu hình và quản lý VLAN.
3.3. Ưu và nhược điểm
3.4. Ứng dụng
- Voice over IP (VoIP): Tách lưu lượng thoại khỏi dữ liệu.
- Video Conferencing: Ưu tiên lưu lượng video.
- Remote Access: Cung cấp truy cập an toàn.
- Cloud Backup and Recovery: Tách lưu lượng sao lưu.
- Gaming: Ưu tiên lưu lượng game.
- IoT: Tách thiết bị IoT khỏi mạng chính.
4. Access và Trunking
- Switch có thể sử dụng hai loại cổng để kết nối và truyền dữ liệu giữa các VLAN.
4.1. Access
- Chỉ thuộc về một VLAN duy nhất.
- Dùng để kết nối PC, máy in, camera IP,...
- Khi frame đi qua Access Port, switch không gắn tag VLAN vào frame.
Ví dụ: PC1 thuộc VLAN 10, khi gửi dữ liệu qua Access Port, Switch sẽ giữ nguyên frame mà không gắn tag VLAN.
Cấu hình Access trên Cisco:
4.2. Trunking
- Có thể truyền nhiều VLAN cùng lúc giữa các thiết bị mạng như Switch, Router.
- Sử dụng 802.1Q VLAN Tagging để đánh dấu VLAN cho frame.
- Trunk Port sẽ gắn tag VLAN khi truyền frame đi và bỏ tag khi gửi đến thiết bị đầu cuối.
- Dùng để kết nối switch-switch hoặc switch-router
Cấu hình Trunk trên Cisco:
VLAN Native sẽ không có tag khi truyền qua trunk.
Vấn đề bảo mật với Native VLAN:
- Native VLAN không gắn tag có thể bị lợi dụng để thực hiện VLAN hopping attack.
- Giải pháp: Không sử dụng VLAN 1 làm Native VLAN. Chỉ định một VLAN khác (ví dụ VLAN 99 như trên) và hạn chế quyền truy cập vào VLAN này
5. VLAN Tagging - IEEE 802.1Q
Chuẩn 802.1Q giúp nhận diện VLAN bằng cách chèn thêm Tag VLAN vào frame Ethernet.
Cấu trúc VLAN Tag:
- Tag Protocol Identifier (TPID) - 16 bits: Luôn là 0x8100.
- Priority Code Point (PCP) - 3 bits: Xác định mức ưu tiên QoS.
- Canonical Format Indicator (CFI) - 1 bit: Định dạng frame.
- VLAN ID - 12 bits: Xác định VLAN (0 - 4095, trong đó 1-4094 sử dụng được).
Bài viết liên quan
Bài viết mới
