Juniper Network Tìm hiểu Layer 2 Address Và Hoạt Động Của Switch, VLAN, Access, Trunking

Mô hình mạng​

1. Layer 2 Address (Địa chỉ MAC)​

Địa chỉ Layer 2 chính là Địa chỉ MAC (Media Access Control) — hay còn gọi là địa chỉ vật lý của thiết bị.

• Độ dài: 48 bit (6 byte), được viết dưới dạng số Hex (Hệ thập lục phân)
• Cấu trúc gồm 2 phần:
  
  • OUI (Organizationally Unique Identifier): 3 byte đầu, do tổ chức IEEE cấp để định danh nhà sản xuất (nhìn vào là biết card mạng của Intel, Cisco hay Realtek).
  • NIC Specific: 3 byte sau, do nhà sản xuất tự gán để đảm bảo mỗi thiết bị trên thế giới chỉ có một địa chỉ MAC duy nhất.

2. Hoạt Động Của Switch (Layer 2)​

Switch cốt lõi là một thiết bị "thông minh" nhờ vào bảng MAC Address Table (hoặc bảng CAM). Nó không gửi đại dữ liệu ra tất cả các cổng như Hub, mà hoạt động theo 3 cơ chế chính:

Học địa chỉ (Learning)​

Khi một thiết bị gửi gói tin (Ethernet Frame) vào một port của Switch, Switch sẽ nhìn vào Source MAC (MAC nguồn). Nếu MAC này chưa có trong bảng, Switch sẽ lưu cặp giá trị [MAC nguồn + Cổng nhận] vào bảng MAC Table.

Chuyển tiếp & Lọc (Forwarding / Filtering)​

Khi nhận được gói tin, Switch sẽ nhìn vào Destination MAC (MAC đích):

• Nếu MAC đích đã có trong bảng MAC Table, Switch sẽ chỉ đẩy gói tin ra đúng port tương ứng đó (Forwarding). Các port khác hoàn toàn không nhận được (Filtering), giúp bảo mật và tránh xung đột.

Phát tán (Flooding)​

Nếu rơi vào 2 trường hợp sau, Switch sẽ ép buộc gửi gói tin ra tất cả các port (trừ port vừa nhận vào):

• Unknown Unicast: MAC đích là địa chỉ Unicast nhưng chưa có trong bảng MAC Table.
• Broadcast/Multicast: Gói tin có MAC đích là địa chỉ Broadcast (ví dụ: FF:FF:FF:FF:FF:FF trong giao thức ARP).

3. VLAN (Virtual LAN - Mạng LAN Ảo)​

Mặc định, toàn bộ các port trên một Switch vật lý đều thuộc chung một vùng gọi là Broadcast Domain. Nếu một máy gửi Broadcast, tất cả các máy khác đều phải xử lý, gây lãng phí tài nguyên và rủi ro bảo mật (dễ bị nghe lén, tấn công ARP Spoofing).

VLAN sinh ra để chia một Switch vật lý thành nhiều Switch logic độc lập:

• Các máy ở các VLAN khác nhau không thể liên lạc trực tiếp với nhau ở Layer 2 (dù cắm chung một Switch).
• Muốn chúng nói chuyện với nhau, bắt buộc phải đi qua một thiết bị Layer 3 (Router hoặc Switch Layer 3) để định tuyến và áp dụng các luật tường lửa (Firewall).

4. Access Port và Trunk Port (Trunking)​

Khi triển khai VLAN, các cổng trên Switch được chia làm hai loại cấu hình chính tùy theo mục đích sử dụng:

Đặc điểm	Access Port	Trunk Port (Trunking)
Đối tượng kết nối	Thường nối giữa Switch với thiết bị cuối (PC, Server, IP Phone).	Thường nối giữa Switch - Switch hoặc Switch - Router/Firewall.
Số lượng VLAN	Chỉ thuộc về 1 VLAN duy nhất.	Cho phép traffic của nhiều VLAN đi qua trên cùng một đường dây.
Trạng thái Frame (Tagging)	Untagged: Gói tin đi ra khỏi port này là gói tin Ethernet chuẩn, không có thẻ VLAN.	Tagged: Gói tin đi qua đường Trunk sẽ được chèn thêm một cái "thẻ định danh" để Switch bên kia biết nó thuộc VLAN nào.