Nguyễn Thành Hợp

24 Th1 2024

hiểu rõ cách tính chi phí đường dẫn trong giao thức STP

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, STP, Switch chia mạng

Cách tính chi phí đường dẫn trong giao thức Spanning Tree

Giao thức STP được sử dụng ngăn chặn các vòng lặp trong mạng. Nó hoạt động bằng cách xác định đường dẫn ngắn nhất và duy nhất từ các Switch không phải Root đến Switch Root bằng gói tin BPDU. Gói tin này chứa thông tin quan trọng – chi phí đường dẫn STP hay chi phí từ đường tới Root Switch để giúp xác định được đường đi ngắn nhất. Trong bài viết hôm nay, ta sẽ đi tìm hiểu chi tiết cách tính toán chi phí đường dẫn trong giao thức STP. Khi có nhiều đường dẫn Fast Ethernet, Gigabit Ethernet thì cách tính chi phí ra sao?

Cách tính chi phí đường dẫn trong STP

Khi Root Switch được chọn, STA sẽ bắt đầu xác định đường dẫn ngắn nhất đến Root Switch. Switch sẽ gửi gói tin BPDU chứa thông tin chi phí đường dẫn gốc. Nó là chi phí đường dẫn từ Switch đến Root Bridge và tính bằng tổng các chi phí cổng riêng lẻ trên đường đi từ Switch tới Root Bridge. Khi Switch nhận được gói tin BPDU, nó cộng chi phí cổng của nó với phân đoạn mạng vào để xác định đường dẫn gốc tới Rootbridge của nó. Tiếp đến nó lại gửi gói tin BPDU dưới dạng tin Broadcast để gửi tới các Switch lân cận.

Chẳng hạn như hình ảnh sơ đồ mạng dưới đây:

Trong sơ đồ trên, SW4 có 3 đường dẫn để tới SW1 gồm:

SW4 – SW2 – SW1
SW4 – SW3 – SW1
SW4 – SW5 – SW3 – SW1

Do đó ta sẽ cần phải tính toán chi phí đường dẫn từ SW4 đến Root theo 3 đường dẫn trên và so sánh để tìm ra được giá trị tốt nhất. Chi phí đường dẫn tỷ lệ nghịch với băng thông của đường dẫn và do đó đường dẫn có giá trị chi phí đường dẫn thấp nhất được coi là hiệu quả hơn đường dẫn có giá trị đường dẫn cao.

Chi phí cổng mặc định được xác định bằng tốc độ hoạt động của cổng:

Tốc độ cổng	Chi phí đường dẫn
10 Mbps	100
100 Mbps	19
1000 Mbps	4
10 Gbps	2

Lưu ý:

Ban đầu các thông số kỹ thuật IEEE không tính các liên kết có tốc độ nhanh hơn 1 Gbps nên quy định chi phí đường dẫn được quy định như sau: 1 Gbps có chi phí cổng là 1, 100 Mbps có chi phí cổng là 10, 100 Mbps có chi phí cổng 100. Bất kỳ liên kết nào nhanh hơn 1 Gbps sẽ đều có giá trị như cổng 1Gbps (tức là chi phí cổng là 1).

Các dòng thiết bị chuyển mạch như Switch Catalyst 4500 và 6500 hỗ trợ các chi phí cổng cao hơn. Cụ thể như sau:

Tốc độ cổng	Chi phí đường dẫn
10 Gbps	2000
100 Gbps	200
1 Tbps	20

Các công nghệ Ethernet phát triển, giá trị cổng có thể thay đổi với các tốc độ khác nhau. Mặc dù các cổng chuyển đổi có chi phí cổng mặc định nhưng ta cũng có thể cấu hình đặt giá trị chi phí cho các cổng. Để cấu hình chi phí qua cổng ta sẽ thực hiện lệnh như sau:

S2(config)# interface f0/1 S2(config-if)# spanning-tree cost 25 S2(config-if)# end

Lệnh trên đặt cấu hình chi phí cho cổng F0/1 của SW2 thành 25. Trong trường hợp ta muốn xóa chi phí đã đặt cho cổng, ta sử dụng lệnh sau:

S2(config)# interface f0/1 S2(config-if)# no spanning-tree cost S2(config-if)# end S2#

Ví dụ tính chi phí đường dẫn trong STP

Ta đã hiểu cách để tính chi phí đường dẫn STP như thế nào? Giờ hãy cùng đi vào một ví dụ chi tiết như sơ đồ dưới đây:

Bây giờ ta sẽ đi tính chi phí đường dẫn của SW4 đến SW1 (Switch Root) trong mạng. Biết rằng chi phí trên các đường liên kết như sau:

Liên kết	Băng thông	Chi phí đường dẫn
1	10 Mbps	100
2	100 Mbps	19
3	10 Mbps	100
4	10 Mbps	100

Nhìn vào sơ đồ ta thấy rằng có 2 đường dẫn từ SW4 đến SW1 như sau:

Đường dẫn 1 (SW4 – SW2 – SW1): chi phí đường dẫn bằng tổng chi phí Link 1 và Link 3. Tức là bằng 100 + 100 = 200
Đường dẫn 2 (Sw4 – SW3 – SW1): chí đường dẫn bằng tổng chi phí Link 2 và Link 4. Tức là bằng 19 + 100 = 119

Vì có chí đường dẫn nhỏ hơn (119 < 200) nên đường dẫn 2 sẽ được chọn làm đường dẫn ngắn nhất tới Root Switch. Để kiểm tra chi phí Root Bridge và Port ta có thể sử dụng lệnh kiểm tra như sau:

S2# show spanning-tree VLAN0001 Spanning tree enabled protocol ieee Root ID Priority 24577 Address 000A.0033.0033 Cost 19 Port 1 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32769 (priority 32768 sys-id-ext 1) Address 000A.0011.1111 Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 15 sec Interface Role Sts Cost Prio.Nbr Type ------------------- ---- --- --------- -------- ------------------------ Fa0/1 Root FWD 19 128.1 Edge P2p Fa0/2 Desg FWD 19 128.2 Edge P2p

Kết quả ở trên cho thấy rằng BID gốc là 24577.000A0033003 và chi phí đường dẫn là 19, cổng là 1.

Mong rằng qua bài viết này, bạn đã có cái nhìn chi tiết nhất về cách tính toán chi phí đường dẫn để hiểu về cách giao thức STP hoạt động như thế nào?

24 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA

Cách xác định, biện pháp khắc phục lỗi định tuyến giữa các VLAN

Trong các bài trước chúng ta đã tìm hiểu cách cấu hình định tuyến giữa các VLAN, bây giờ ta sẽ đi tìm hiểu xem các lỗi thường gặp khi định tuyến VLAN gồm những lỗi nào và cách khắc phục chúng ra sao.

Hầu hết lý do khiến định tuyến VLAN không hoạt động đều nằm ở phần kết nối. Trước hết, ta cần phải kiểm tra các kết nối vật lý trong mạng xem đã kết nối đúng hay chưa? Nếu đã đúng ta sẽ đi vào phần kiểm tra cấu hình. Dưới đây là các lỗi hay gặp nhất và cách xử lý:

Lỗi	Cách khắc phục	Cách xác minh
Thiết VLAN	Tạo mới hoặc tạo lại VLAN nếu nó không tồn tại	Show VLAN [brief]
	Đảm bảo cổng được gán cho VLAN chính xác	show interfaces switchport
		ping
Sự cố về cổng Trunk	Đảm bảo đường Trunk được cấu hình chính xác	show interfaces trunk
Sự cố về cổng Trunk	Đảm bảo cổng Trung kế được bật	show running-config
Sự cố về cổng Truy cập	Gán đúng VLAN cho các cổng truy cập	show interfaces switchport
	Đảm bảo các công truy cập được bật	show running-config interface
	Máy chủ cần cấu hình chính xác với các mạng con	ipconfig
Sự cố về cấu hình Router	Địa chỉ IPV4 cho giao diện con của Router bị cấu hình sai	show ip interface brief
Sự cố về cấu hình Router	Giao diện con của Rotuer bị gán cho VLAN ID	show interfaces

Tình huống cụ thể và cách khắc phục định tuyến VLAN

Để hình dung rõ hơn về các lỗi và cách khắc phục, ta sẽ cùng đi vào một ví dụ dưới đây:

Cấu trúc sơ đồ mạng trên sẽ được sử dụng xuyên suốt trong bài hướng dẫn này. Trong sơ đồ này ta đã biết các thông tin về chi tiết về máy tính, bộ chuyển mạch, đường trunk Dưới đây là các thông tin bổ sung về giao diện định tuyến trên Router:

Giao diện	VLAN ID	Địa chỉ IP
G0/0/0.10	10	192.168.10.1/24
G0/0/0.20	20	192.168.20.1/24
G0/0/0.30	99	192.168.99.1/24

Bây giờ ta sẽ đi vào từng lỗi có thể xảy ra:

1. Lỗi thiếu VLAN

Có thể xảy ra lỗi kết nối giữa các VLAN do thiết VLAN. Nguyên nhân chính gây ra lỗi này là do VLAN không được thêm vào đủ, bị xóa hoặc không được phép trên liên kết Trunk. Đơn giản như sau: nếu PC 1 kết nối

Sự cố kết nối giữa các Vlan có thể do thiếu Vlan. Vlan có thể bị thiếu nếu nó không được tạo, nó vô tình bị xóa hoặc không được phép trên liên kết trung kế.

Ví dụ, PC1 hiện được kết nối với VLAN 10 và có kết quả đầu ra từ lệnh “show vlan summary” như sau:

S1# show vlan brief VLAN Name Status Ports ---- ------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 LAN10 active Fa0/6 20 LAN20 active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1#

Giả sử VLAN 10 bị xóa như sau:

S1(config)# no vlan 10 S1(config)# do show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 20 LAN20 active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1(config)#

Lưu ý: VLAN 10 bị thiếu trong đầu ra và cổng Fa0/6 chưa gán lại cho VLAN mặc định. Bởi vì khi ta xóa 1 VLAN thì mọi cổng gán cho VLAN đó đều ko hoạt đống. Chúng vẫn liên kết với VLAN cho đến khi gán chúng vào VLAN mới hoặc tạo lại VLAN bị xóa thì chúng sẽ không hoạt động.

Lúc này ta sử dụng lệnh show interface interface-id switchport để xác minh thông tiN VLAN như sau:

S1(config)# do show interface fa0/6 switchport Name: Fa0/6 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 10 (Inactive) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none (Output omitted)

Khi ta tạo lại VLAN 10 và sử dụng lệnh Show VLAN sumary để kiểm tra:

S1(config)# vlan 10 S1(config-vlan)# do show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 20 LAN20 active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1(config-vlan)#

Đến đây, ta thấy VLAN vẫn chưa hoạt động như mong đợi. Lý do là ta phải thoát chế độ cấu hình phụ để tạo VLAN:

S1(config-vlan)# exit S1(config)# vlan 10 S1(config)# do show vlan brief VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/2, Fa0/3, Fa0/4, Fa0/7 Fa0/8, Fa0/9, Fa0/10, Fa0/11 Fa0/12, Fa0/13, Fa0/14, Fa0/15 Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Fa0/22, Fa0/23 Fa0/24, Gi0/1, Gi0/2 10 VLAN0010 active Fa0/6 20 LAN20 active 99 Management active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup S1(config)#

Đến đây ta đã hoàn thành xong việc khắc phục lỗi!

2. Sự cố trên đường Trunk

Cấu hình đường Trunk bị sai là một trong những vấn đề chủ yếu với định tuyến giữa các VLAN. Trong phương pháp định tuyến VLAN theo cách truyền thống, lỗi đường trunk xảy ra khi cổng Router kết nối không được gán đúng cho VLAN. Tuy nhiên, nếu định tuyến VLAN theo cách Router-On-A-Stick thì nguyên nhân phổ biến nhất vẫn là do đường Trunk cấu hình sai.

Ví dụ: Giả sử PC 1 kết nối với máy chủ trong các VLAN khác. Khi kiểm tra nhật ký bảo trì thấy rằng Sw1 L2 đã được truy cập để bảo trì định kỳ. Ta có thể nghĩ ngay đến vấn đề liên quan đến SW1.

Do đó, ta sẽ xác minh bằng lệnh show interfaces trunk để kiểm tra xem cổng kết nối với R1 (F0/5) có được cấu hình chính xác theo liên kết Trunk không?

S1# show interfaces trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-4094 Port Vlans allowed and active in management domain Fa0/1 1,10,20,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,99 S1#

Ta thấy rằng cổng Fa0/5 đang bị thiếu. Bây giờ ta sẽ cần phải xác minh cấu hình trên giao diện Fa0/5 bằng lệnh show Running-config interface fa0/5:

S1# show running-config interface fa0/5 Building configuration... Current configuration : 96 bytes ! interface FastEthernet0/5 description Trunk link to R1 switchport mode trunk shutdown end S1#

Ta thấy rằng cổng đã bị tắt, cho nên để xử lý vấn đề này ta sẽ bật lại cổng với trạng thái cổng Trunk như sau:

S1(config)# interface fa0/5 S1(config-if)# no shut S1(config-if)# *Mar 1 04:46:44.153: %LINK-3-UPDOWN: Interface FastEthernet0/5, changed state to up S1(config-if)# *Mar 1 04:46:47.962: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up S1(config-if)# do show interface trunk Port Mode Encapsulation Status Native vlan Fa0/1 on 802.1q trunking 1 Fa0/5 on 802.1q trunking 1 Port Vlans allowed on trunk Fa0/1 1-4094 Fa0/5 1-4094 Port Vlans allowed and active in management domain Fa0/1 1,10,20,99 Fa0/5 1,10,20,99 Port Vlans in spanning tree forwarding state and not pruned Fa0/1 1,10,20,99 Fa0/1 1,10,20,99 S1(config-if)#

Để tránh các lỗi về liên kết giữa các VLAN, ta nên sử dụng các liên kết dự phòng để giải quyết chúng.

3. Sự cố về cổng truy cập

Khi kiểm tra các lỗi khác thấy không sao cả, và ta nghĩ rằng lỗi có thể nằm ở cổng truy cập của Switch. Hãy sử dụng lệnh kiểm tra để xác minh cấu hình và xác định sự cố.

Chẳng hạn: PC 1 có địa chỉ IPv4 và cổng mặc định chính xác nhưng không thể ping cổng mặc định của chính nó. PC 1 được kết nối với cổng VLAN 10.

Lúc này, ta sẽ kiểm tra cấu hình cổng trên S1 bằng lệnh show interfaces interface-id switchport :

S1# show interface fa0/6 switchport Name: Fa0/6 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none

ta thấy rằng cổng Fa0/6 đã được cấu hình làm cổng truy cập nhưng nó lại chưa thuộc VLAN 10. Ta cần phải kiểm tra cấu hình giao diện như sau:

S1# show running-config interface fa0/6 Building configuration... Current configuration : 87 bytes ! interface FastEthernet0/6 description PC-A access port switchport mode access end S1#

Quả đúng là nó chưa thuộc VLAN 10. Do đó, ta sẽ gán cổng Fa0/6 vào VLAN 10 như sau:

S1# configure terminal S1(config)# interface fa0/6 S1(config-if)# switchport access vlan 10 S1(config-if)# S1(config-if)# do show interface fa0/6 switchport Name: Fa0/6 Switchport: Enabled Administrative Mode: static access Operational Mode: static access Administrative Trunking Encapsulation: dot1q Operational Trunking Encapsulation: native Negotiation of Trunking: Off Access Mode VLAN: 10 (VLAN0010) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none (Output omitted)

Bây giờ máy tính PC 1 đã có thể liên lạc với các máy tính ở VLAN khác.

4. Khắc phục sự cố định cấu hình Router

Nếu xảy ra lỗi trên cấu hình về Router thì đa số nó đến từ việc cấu hình sai giao diện con SVI. Chẳng hạn như ta gán địa chỉ IP hoặc VLAN ID không chính xác cho cổng SVI.

Ví dụ: R1 định tuyến giữa các VLAN 10, 20, và 30. Tuy nhiên sự cố phát sinh các thiết bị trong VLAN 10 khiến chúng không thể giao tiếp với các thiết bị trong VLAN khác.

Ta giả sử rằng không có lỗi gì trong cấu hình đường Trunk. Bây giờ ta sẽ cần phải kiểm tra giao diện con bằng lệnh show ip interface brief:

R1# show ip interface brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0/0 unassigned YES unset administratively down down GigabitEthernet0/0/1 unassigned YES unset up up Gi0/0/1.10 192.168.10.1 YES manual up up Gi0/0/1.20 192.168.20.1 YES manual up up Gi0/0/1.99 192.168.99.1 YES manual up up Serial0/1/0 unassigned YES unset administratively down down Serial0/1/1 unassigned YES unset administratively down down R1#

Dựa vào kết quả trên, ta thấy rằng các địa chỉ IP đã được gán chính xác và hoạt động. Bây giờ ta sẽ kiểm tra xem các giao diện đang bật cho VLAN nào bằng lệnh show interfaces:

R1# show interfaces | include Gig|802.1Q GigabitEthernet0/0/0 is administratively down, line protocol is down GigabitEthernet0/0/1 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set GigabitEthernet0/0/1.10 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 100. GigabitEthernet0/0/1.20 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 20. GigabitEthernet0/0/1.99 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 99. R1#

Như trên ta thấy rằng giao diện G0/0/1.10 đã được gán cho VLAN 100 thay vì VLAN 10. Ta có thể xác nhận bằng cách sau:

R1# show running-config interface g0/0/1.10 Building configuration... Current configuration : 146 bytes ! interface GigabitEthernet0/0/1.10 description Default Gateway for VLAN 10 encapsulation dot1Q 100 ip address 192.168.10.1 255.255.255.0 end R1#

Để khắc phục sự cố này, ta sẽ cần cấu hình lại cổng SVI G0/0/1.10 cho chính xác như sau:

R1# conf t Enter configuration commands, one per line. End with CNTL/Z. R1(config)# interface gigabitEthernet 0/0/1.10 R1(config-subif)# encapsulation dot1Q 10 R1(config-subif)# end R1# R1# show interfaces | include Gig|802.1Q GigabitEthernet0/0/0 is administratively down, line protocol is down GigabitEthernet0/0/1 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 1., loopback not set GigabitEthernet0/0/1.10 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 10. GigabitEthernet0/0/1.20 is up, line protocol is up Encapsulation 802.1Q Virtual LAN, Vlan ID 20. GigabitEthernet0/0/1.99 is up, line protocol is up R1#

Đến đây, các thiết bị trong VLAN 10 đã có thể giao tiếp với các thiết bị trong VLAN khác.

Mong rằng qua bài viết chi tiết này, bạn đã có cái nhìn thực tế khi định tuyến VLAN xảy ra lỗi thì phải làm gì?

23 Th1 2024

các lỗi VLAN và Trunking cùng cách khắc phục

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng, VLAN

9 lỗi hay gặp nhất VLAN và Trunking cùng các lệnh gỡ lỗi

Việc cấu hình VLAN và Trunking không phải đơn giản. Do đó, ta sẽ không thể tránh khỏi trường hợp gặp lỗi. Do đó, mình viết bài này để giới thiệu các lỗi hay gặp nhất khi triển khai VLAN và Trunking cùng cách xử lý chúng như thế nào? Bên cạnh đó mình sẽ giới thiệu về các lệnh cấu hình được sử dụng trong quá trình gỡ lỗi!

Các lỗi VLAN và Trunking hay gặp nhất

1. Lỗi VLAN ID không khớp

Lỗi này do cấu hình VLAN ID trên các switch không khớp nhau do sự nhầm lẫn hoặc thiếu sót trong quá trình cấu hình. Ví dụ: Trong một môi trường mạng, switch A có cấu hình VLAN 10 làm VLAN mặc định, trong khi switch B có cấu hình VLAN 20 làm VLAN mặc định.

Hậu quả: Thiết bị thuộc cùng một VLAN không thể giao tiếp với nhau. Các máy tính, thiết bị hoặc segment mạng trong cùng một VLAN sẽ không thể truy cập tới nhau, gây ngắt quãng trong sự liên kết của mạng.

Cách khắc phục:

Sử dụng lệnh show vlan trên cả Switch để kiểm tra cấu hình VLAN ID hiện tại.
Nếu phát hiện không khớp, sử dụng lệnh configure terminal để vào chế độ cấu hình và vlan <vlan-id> để chỉnh sửa cấu hình VLAN ID.
Sử dụng lệnh spanning-tree vlan <vlan-id> priority <priority> để thiết lập ưu tiên cho mỗi VLAN và giảm khả năng xảy ra lỗi trong quá trình cấu hình.

2. Lỗi địa chỉ IP VLAN trùng nhau

Lỗi này do thiết lập địa chỉ IP của các VLAN trùng nhau do sự nhầm lẫn hoặc thiếu sót trong quá trình cấu hình. Ví dụ cụ thể: Trong một mạng, VLAN 10 và VLAN 20 đều được cấu hình với địa chỉ IP là 192.168.1.1, dẫn đến sự trùng lặp.

Biểu hiện: Địa chỉ IP của các VLAN trùng nhau, gây hiểu lầm trong quản lý mạng. Các thiết bị trong các VLAN có thể truy cập nhầm vào địa chỉ IP của VLAN khác, làm giảm tính chính xác và tính độc lập của các VLAN.

Cách khắc phục: Sử dụng lệnh show vlan và show ip interface brief để kiểm tra cấu hình địa chỉ IP của từng VLAN trên tất cả các switch. Nếu phát hiện trùng lặp sử dụng lệnh cấu hình để sửa lại địa chỉ IP của VLAN.

3. Lỗi Loop tạo ra Broadcast Storm trong VLAN

Sự xuất hiện của loop trong hệ thống VLAN, khi mà gói tin broadcast được liên tục lan truyền trong mạng và không bao giờ dừng lại. Ví dụ như: Một cáp Ethernet bị kết nối giữa hai port trên cùng một switch, tạo thành loop trong mạng và gói tin broadcast được chuyển tiếp liên tục.

Lỗi này làm tăng đột ngột trong lưu lượng broadcast, làm tắc nghẽn mạng và có thể gây giảm hiệu suất đáng kể. Thiết bị mạng trở nên chậm chạp, và có thể xảy ra gián đoạn kết nối đến các thiết bị khác.

Cách khắc phục:

Kích hoạt và cấu hình giao thức chống loop như Spanning Tree Protocol (STP) trên tất cả các switch trong mạng.
Sử dụng lệnh show spanning-tree để xem thông tin về cấu hình STP trên switch. Kiểm tra xem có tồn tại các cổng blocked hoặc loop không. Nếu có, loại bỏ loop bằng cách tìm và ngắt các kết nối tạo thành loop.

4. Lỗi kích thước MTU không khớp

Nguyên nhân chính là do kích thước Maximum Transmission Unit (MTU) khác nhau trên các đầu của trunk hoặc giữa các thiết bị trong cùng một VLAN. Chẳng hạn như: MTU được đặt là 1500 trên một switch và 9000 trên switch kết nối, tạo ra một sự không khớp.

Điều này làm mất dữ liệu do kích thước gói tin vượt quá MTU của thiết bị đích. Các gói tin lớn có thể bị cắt đứt hoặc không được chuyển tiếp, dẫn đến mất thông tin hoặc giảm hiệu suất.

Cách khắc phục:

Sử dụng lệnh show interface <interface> để kiểm tra cấu hình MTU trên tất cả các cổng kết nối.
Nếu phát hiện không khớp, sử dụng lệnh configure terminal để vào chế độ cấu hình và mtu <size> để chỉnh sửa cấu hình MTU.
Bật PMTUD trên tất cả các thiết bị trong mạng để tự động phát hiện và điều chỉnh kích thước gói tin sao cho nó không vượt quá MTU trên đường truyền.
Nếu không thể điều chỉnh MTU trên tất cả các thiết bị, hạn chế sử dụng Jumbo Frames để giảm khả năng không khớp.
Sử dụng công cụ như Ping với kích thước gói tin lớn để kiểm tra đường truyền và xác định kích thước MTU tối đa có thể sử dụng mà không gặp sự không khớp.

5. Lỗi quên thêm VLAN

Khi thêm VLAN mới vào mạng, ta cần phải đảm bảo rằng nó nằm trên danh sách VLAN trên các Switch. Nếu không thì thiết bị thuộc VLAN mới không thể giao tiếp với các thiết bị trong VLAN khác hoặc trong cùng một VLAN. Có thể xảy ra tình trạng cô lập hoặc không thể truy cập vào tài nguyên trong VLAN mới.

Ví dụ như: Một VLAN mới được tạo để phục vụ một bộ phận mới trong công ty, nhưng quản trị viên quên thêm VLAN này vào cấu hình của các switch trong mạng. Do đó, các máy tính trong VLAN mới không thể liên lạc với nhau hoặc với các thiết bị trong các VLAN khác.

Cách khắc phục:

Sử dụng lệnh show vlan để kiểm tra danh sách VLAN hiện tại trên switch.
Nếu VLAN mới không xuất hiện, sử dụng lệnh configure terminal để vào chế độ cấu hình và vlan <vlan-id> để thêm VLAN mới.
Kích hoạt VTP trên tất cả các switch để tự động đồng bộ hóa thông tin về VLAN trong toàn bộ mạng.
Đảm bảo rằng switch đang thêm VLAN mới được cấu hình làm server hoặc client của VTP.

6. Lỗi cấu hình Trunk sai

Cấu hình Trunk sai hoặc thiếu trên các kết nối giữa các switch. Ví dụ như: Một cổng được cấu hình sai làm cổng access thay vì trunk, hoặc ngược lại. Thiết bị trong các VLAN không thể giao tiếp qua các trunk. Gói tin giữa các switch có thể bị lọc hoặc không được chuyển tiếp đúng cách.

Cách khắc phục:

Sử dụng lệnh show interface <interface> để kiểm tra cấu hình của cổng kết nối.
Nếu cổng được cấu hình sai, sử dụng lệnh configure terminal để vào chế độ cấu hình và interface <interface> sau đó sử dụng lệnh switchport mode trunk hoặc switchport mode access để cập nhật.
Bật DTP để tự động cấu hình các cổng kết nối giữa các switch là trunk.
Sử dụng lệnh show interfaces trunk để kiểm tra cấu hình trunk trên tất cả các switch.

7. Lỗi không khớp giao thức Trunk

Để chuyển đường Trunk, ta có thể sử dụng 2 giao thức 802.1Q hoặc ISL. Hai Switch phải sử dụng cùng 1 giao thức trunk để liên kết thành công. Ví dụ như: Switch A được cấu hình để sử dụng giao thức ISL trong khi Switch B sử dụng 802.1Q.

Điều này khiến gói tin trunk giữa các switch không được hiểu đúng, dẫn đến việc lưu thông không chính xác hoặc thậm chí là lỗi khi chuyển giao dữ liệu giữa các VLAN.

Cách khắc phục:

Sử dụng lệnh show interface <interface> để kiểm tra cấu hình của cổng kết nối.
Nếu cổng được cấu hình với giao thức không đúng, sử dụng lệnh configure terminal để vào chế độ cấu hình và interface <interface> sau đó sử dụng lệnh switchport trunk encapsulation <protocol> để cập nhật.
Chọn isl cho ISL hoặc dot1q cho 802.1Q làm giao thức trunk.
Bật DTP để tự động cấu hình các cổng kết nối giữa các switch là trunk và đồng thời sử dụng chung một giao thức trunking.
Sử dụng lệnh show interfaces trunk để kiểm tra cấu hình trunk trên tất cả các switch trong mạng.

8. Lỗi Native VLAN không khớp

Nguyên nhân của lỗi này là Native VLAN được cấu hình khác nhau trên các cổng trunk giữa các switch. Ví dụ: Cổng trên Switch A được cấu hình với native VLAN 10, trong khi cổng tương ứng trên Switch B được cấu hình với native VLAN 20.

Gói tin của native VLAN truyền qua các trunk không được xử lý đúng, gây ra lưu thông không chính xác hoặc thậm chí là lỗi trong việc chuyển giao dữ liệu giữa các switch.

Cách xử lý:

Sử dụng lệnh show interface <interface> để kiểm tra cấu hình của cổng kết nối.
Nếu native VLAN không đồng nhất, sử dụng lệnh configure terminal để vào chế độ cấu hình và interface <interface> sau đó sử dụng lệnh switchport trunk native vlan <vlan-id> để cập nhật.
Bật DTP để tự động cấu hình các cổng kết nối giữa các switch là trunk và đồng thời sử dụng native VLAN chung.
Sử dụng lệnh show interfaces trunk để kiểm tra cấu hình native VLAN trên tất cả các switch trong mạng.

9. Lỗi chế độ Duplex không khớp

Thiết bị kết nối với nhau với hai chế độ hoạt động duplex khác nhau, chẳng hạn như một thiết bị hoạt động ở chế độ full duplex trong khi thiết bị kết nối hoạt động ở chế độ half duplex. Ví dụ: Switch A được cấu hình ở chế độ full duplex, trong khi Switch B kết nối với nó ở chế độ half duplex.

Kết quả là giảm hiệu suất mạng, lưu lượng mạng giảm đáng kể, gói tin bị mất hoặc phải chờ đợi lâu để được chuyển tiếp.

Cách xử lý:

Sử dụng lệnh show interface <interface> để kiểm tra cấu hình duplex trên cả hai thiết bị kết nối.
Nếu phát hiện duplex không đồng nhất, sử dụng lệnh configure terminal và interface <interface> để cấu hình duplex đúng cho cả hai.
Bật chế độ Auto-negotiation trên cả hai thiết bị để cho phép chúng tự động đàm phán và chọn chế độ duplex tối ưu.

Các câu lệnh giúp kiểm tra và gỡ lỗi VLAN và Trunk

STT	Câu Lệnh	Ý Nghĩa
1	show vlan	Hiển thị thông tin về các VLAN trên thiết bị.
2	show interfaces <interface> switchport	Hiển thị cấu hình switchport của một cổng cụ thể.
3	show interfaces trunk	Hiển thị thông tin về các cổng trunk.
4	configure terminal	Bắt đầu quá trình cấu hình.
5	vlan <vlan-id>	Tạo một VLAN mới với ID được chỉ định.
6	interface <interface>	Chọn một cổng cụ thể để cấu hình.
7	switchport mode access	Chuyển cổng về chế độ access.
8	switchport access vlan <vlan-id>	Gán cổng vào một VLAN cụ thể.
9	switchport mode trunk	Chuyển cổng về chế độ trunk.
10	switchport mode dynamic auto	Chuyển cổng thành chế độ dynamic auto cho DTP.
11	switchport mode dynamic desirable	Chuyển cổng thành chế độ dynamic desirable cho DTP.
12	show interfaces <interface> switchport	Hiển thị cấu hình switchport của một cổng cụ thể.
13	show interfaces trunk	Hiển thị thông tin về các cổng trunk.
14	switchport trunk native vlan <vlan-id>	Chỉ định native VLAN cho cổng trunk.
15	show interfaces trunk	Hiển thị thông tin về các cổng trunk.

Mong rằng qua bài viết này bạn đã có được cái nhìn tổng quát hơn về VLAN và các lỗi hay gặp khi triển khai. Việc cấu hình VLAN không quá khó nhưng sẽ khá phức tạp với mạng lớn. Do đó, ta cần phải hiểu rõ từng cách làm để triển khai một cách chính xác và hiệu quả.

23 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Router, Switch chia mạng

Giới thiệu Inter-VLAN Routing chi tiết? Các cách định tuyến giữa VLAN

Trong mạng, Router sẽ dùng để phân chia miền quảng bá và các Switch (ơ lớp 2) hoạt động trong một miền quảng bá duy nhất. Tuy nhiên, Switch có thể sử dụng VLAN để phân chia miền quảng bá thành nhiều VLAN khác nhau. Theo đó, VLAN là một miền quảng bá. Tức là các thiết bị như máy tính thuộc một VLAN riêng biệt chỉ có thể giao tiếp với nhau mà không thể giao tiếp với các thiết bị khác.

Lúc này, nếu muốn liên lạc giữa các thiết bị giữa các VLAN khác nhau, ta sẽ cần quá trình định tuyến giữa các VLAN và quá trình này được gọi là Inter VLAN Routing hoặc viết tắt là IVR. Để định tuyến giữa các VLAN, ta cần thông qua một bộ định tuyến hoặc Switch Layer 3. Hiện nay có 3 cách để thực hiện quá trình định tuyến giữa các VLAN gồm:

Định tuyến VLAN truyền thống.
Định tuyến VLAN theo cách Router-On-A-Stick (Sử dụng 1 cổng trên Router)
Định tuyến VLAN dựa vào Switch Layer 3.

Sau đây, chúng ta sẽ đi tìm hiểu chi tiết từng cách để thực hiện Inter-VLAN Routing:

Định tuyến VLAN theo cách truyền thống

Theo cách này, ta sẽ sử dụng một Router và kết nối với Switch qua nhiều cổng. Mỗi cổng cấu hình cho một VLAN cụ thể. Các cổng trên Router sẽ được thiết lập là các cổng mặc định cho các VLAN tương ứng được cấu hình trên Switch.

Khi một thiết bị từ VLAN này kết nối với VLAN khác, gói tin chuyển từ thiết bị đến cổng truy cập kết nối với Router tương ứng VLAN mà thiết bị kết nối. Router nhận được gói tin, nó kiểm tra địa chỉ IP đích của gói tin và chuyển tiếp đến mạng đích bằng cổng truy cập tương ứng của VLAN đích.

Switch nhận được gói tin sẽ chuyến tiếp khung tới thiết bị đích vì Router đã đổi thông tin VLAN từ VLAN nguồn sang VLAN đích.

Cách này rất đơn giản nhưng yêu cầu Router phải có số cổng bằng với số lượng VLAN cấu hình trên Switch. Do đó, nếu Switch có 10 VLAN thì Router cũng cần 10 cổng để thực hiện kết nối định tuyến dữ liệu. Do đó, cách này thường không được sử dụng.

Ví dụ minh họa:

Trong sơ đồ trên ta có các thông tin như sau:

Ta có 2 máy chủ A và B, 1 bộ chuyển mạch và 1 Router.
Ta có 2 mạng gồm VLAN 10 và VLAN 20.

Theo cách truyền thống, ta sẽ sử dụng 2 kết nối giữa Router và Switch để đặt định tuyến cho từng VLAN một. Các thông số chi tiết về giao diện và địa chỉ IP theo trên hình.

Khi đó nếu máy chủ A muốn gửi tin nhắn đến máy chủ B, quá trình định tuyến sẽ diễn ra như sau:

Máy chủ A kiểm tra địa chỉ IP của gói tin xem có nằm trong VLAN 10 (VLAN của máy chủ A). Nếu không, gói tin chuyển tiếp đến cổng mặc định trên Router (cổng Fa0/0).
Máy chủ A gửi yêu cầu ARP đến Swithc để tìm địa chỉ MAC của giao diện Fa0/0 trên Router. Đợi Router trả lời, máy chủ A gửi khung đến Router dưới dạng tin nhắn Unicast.
Máy chủ A kiểm tra xem địa chỉ IP đích có nằm trong VLAN của nó hay không; nếu không, lưu lượng sẽ được chuyển tiếp đến cổng mặc định của nó trên giao diện Fa0/0 trên bộ định tuyến.
Khi Router nhận được Frame nó xác định địa chỉ IP và cổng tương ứng từ bảng định tuyến.
Sau đó, Router gửi yêu cầu ARP đến giao diện được kết nối với VLAN đích (VLAN 20), tương ứng Fa0/1 trên Router.
Switch nhận được yêu cầu ARP nó chuyển tiếp đến các cổng và ghi nhận địa chỉ máy chủ B bằng địa chỉ MAC của nó.
Sau đó, Router nhận được thông tin về máy chủ B và chuyển tiếp gói tin đến máy chủ B trên VLAN 20 dưới dạng tin nhắn Unicast qua bộ chuyển mạch.

Hướng dẫn cấu hình

Dưới đây là cấu hình chi tiết cho ví dụ trên:

– Đầu tiên ta sẽ cần phải tạo các VLAN 10 và 20 trên Switch:

Switch# conf t Switch(config)# vlan 10 Switch(config-vlan)# name quan-tri Switch(config-vlan)# vlan 20 Switch(config-vlan)# name kinh-doanh Switch(config-vlan)# exit

– Tiếp theo, ta sẽ cần gán VLAN tương ứng cho các cổng Switch:

Switch# conf t Switch(config)# interface fa0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)# exit Switch(config)# interface fa0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config-if)# exit

– Cuối cùng, ta cần định cấu hình địa chỉ IP trên Router:

Router# conf t Router(config)# interface fa0/0 Router(config-if)#ip address 192.168.10.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)# interface fa0/1 Router(config-if)# ip address 192.168.20.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)# exit Router# copy running-config startup-config

Định tuyến VLAN theo cách Router-On-A-Stick

Theo cách này, một router được kết nối với switch thông qua một cổng và cổng này được cấu hình để hoạt động như một cổng trunk, có khả năng truyền thông tin của nhiều VLAN qua cùng một kết nối.

Phần mềm Router sẽ cho phép cấu hình nhiều cổng ảo trên cùng một cổng vật lý, mỗi cổng phụ ảo được kết nối để liên kết với một VLAN trên Switch và được cấu hình địa chỉ IP riêng. Bảng giao thức 802.1Q, lưu lượng qua cổng Trunk trên Router sẽ được gắn thẻ TAG để cho phép truyền lưu lượng từ nhiều VLAN trên cùng 1 cổng kết nối vật lý.

Phương pháp này khắc phục được hạn chế của phương pháp định tuyến VLAN truyền thống và cũng là phương pháp được sử dụng chủ yếu hiện nay để định tuyến VLAN qua Router.

Ví dụ minh họa

Trong sơ đồ trên ta có một mạng gồm:

2 máy chủ A và B, 1 Router và 1 Switch
Ta có 2 VLAN 10 và 20, trong đó: máy chủ A thuộc VLAN 10 và máy chủ B thuộc VLAN 20.

Các thông tin về địa chỉ IP được thể hiện chi tiết qua sơ đồ mạng.

Theo cách Router-on-a-stick, ta sẽ cấu hình một đường Trunk giữa Router và Switch, trên Router ta sẽ tiến hành cấu hình 2 giao diện phụ ảo tương ứng với VLAN 10 và 20 để định tuyến giữ liệu. Theo đó, nếu Máy chủ A gửi tin tới máy chủ B thì quá trình sẽ diễn ra như sau:

Máy chủ A gửi tin nhắn dưới dạng Unicast tới Switch.
Switch gắn thẻ TAG VLAN 10 và truyền tiếp theo đường tTrunk tới Router.
Router nhận lưu lượng với thẻ TAG VLAN 10 và định tuyến đến VLAN 20 bằng giao diện con đã cấu hình tương ứng.
Gói tin sẽ được gắn thẻ TAG VLAN 20 và gửi từ giao diện phụ tương ứng tới Switch.
Switch nhận gói tin và loại bỏ thẻ TAG và tiếp tục chuyển đến máy chủ B qua cổng Fa0/3.

Hướng dẫn cấu hình

Để thực hiện ví dụ trên ta cần phải cấu hình như sau:

– Tạo VLAN 10 và 20 trên Switch:

Switch# conf t Switch(config)# vlan 10 Switch(config-vlan)# name Marketing Switch(config-vlan)# vlan 20 Switch(config-vlan)# name kinh-doanh Switch(config-vlan)# exit

– Gán VLAN vào các cổng tương ứng và tạo đường trunk trên Switch:

Switch#conf t Switch(config)# interface fa0/2 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config)# interface fa0/3 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 20 Switch(config)# interface fa0/1 Switch(config-if)#switchport mode trunk Switch(config-if)# exit

– Cấu hình địa chỉ IP trên Router:

Router# conf t Router(config)# interface fa0/1.10 Router(config-subif)# encapsulation dot1Q 10 Router(config-subif)#ip address 192.168.10.1 255.255.255.0 Router(config)# interface fa0/1.20 Router(config-subif)# encapsulation dot1Q 20 Router(config-subif)# ip address 192.168.20.1 255.255.255.0 Router(config)# interface fa0/1 Router(config-if)# no shutdown

Định tuyến VLAN bằng Switch Layer 3

Theo cách này, ta sử dụng một loại Switch đặc biệt gọi là Multiplayer Switch hoặc Switch Layer 3 để thực hiện định tuyến VLAN mà không cần sử dụng Router chuyên dụng. Switch Layer 3 là loại bộ chuyển mạch kết hợp tính năng định tuyến của router và hoạt động cả 2 tầng 2 và 3 của mô hình OSI. Nó có thể sử dụng các giao thức định tuyến như RIP, OSPF để thực hiện định tuyến giữa các VLAN và mạng con.

Switch L3 sẽ sử dụng các giao diện logic ảo hay còn được gọi là SVI để liên kết cho mỗi VLAN. Một SVI sẽ định tuyến kết nối với 1 VLAN. Nó cũng được cấu hình với địa chỉ IP tương ứng với các VLAN trên Switch. Các SVI đảm bảo chuyển tiếp thông tin giữa các VLAN mà ko cần Router hay liên kết Trunk phức tạp.

Ví dụ minh họa

Giờ ta sẽ đi vào một ví dụ cụ thể với sơ đồ mạng như sau:

2 máy chủ A và B, 1 Switch L2 và 1 Switch L3 và 1 Firewall.
Ta có 2 VLAN 10 và 20, trong đó A thuộc VLAN 10 và B thuộc VLAN 20.

Các thông số chi tiết về địa chỉ IP, mạng được biểu thị qua sơ đồ. Bây giờ, để định tuyến ta sẽ sử dụng 1 kết nối trunk giữa Switch L2 và L3. Ta tạo các SVI để gán với VLAN cụ thể. Ví dụ như máy chủ A muốn gửi tin đến máy chủ B thì quá trình diễn ra như sau:

A gửi gói tin dưới dạng Unicast đến Switch L2.
Switch L2 nhận được gói tin và gắn thẻ TAG VLAN 10 rồi chuyển tiếp tới Switch L3 qua đường liên kết Trunk.
Switch L3 nhận được gói tin và loại bỏ thẻ TAG rồi chuyển tiếp sang giao diện SVI tương ứng với VLAN 10.
Switch L3 tiếp tục định tuyến lưu lượng đến SVI tương ứng của VLAN 20 và gắn thẻ TAG VLAN 20 gửi tới Switch L2.
Switch L2 loại bỏ thẻ TAG và chuyển tiếp đến máy chủ B qua cổng Fa0/3.

Hướng dẫn cấu hình

Để cấu hình cho ví dụ trên ta sẽ cần phải thực hiện các công việc sau:

– Tạo VLAN 10 và 20 trên Switch L2:

L2-Switch# conf t L2-Switch(config)# vlan 10 L2-Switch(config-vlan)# name Ke-toan L2-Switch(config-vlan)# vlan 20 L2-Switch(config-vlan)# name Tai-chinh L2-Switch(config-vlan)# exit

– Gán VLAN vào các cổng và tạo cổng Trunk trên Switch L2:

L2-Switch# conf t L2-Switch(config)# interface fa0/2 L2-Switch(config-if)#switchport mode access L2-Switch(config-if)#switchport access vlan 10 L2-Switch(config)# interface fa0/3 L2-Switch(config-if)#switchport mode access L2-Switch(config-if)#switchport access vlan 20 L2-Switch(config)# interface fa0/1 L2-Switch(config-if)# switchport trunk encapsulation dot1q L2-Switch(config-if)# switchport mode trunk

– Tạo danh sách VLAN 10 và 20 trên Switch L3 và kích hoạt định tuyến L3:

L3-Switch#conf t L3-Switch(config) # ip routing L3-Switch(config)#vlan 10 L3-Switch(config-vlan)# name Ke-toan L3-Switch(config-vlan)# vlan 20 L3-Switch(config-vlan)# name Tai-chinh L3-Switch(config)# interface fa0/1 L3-Switch(config-if)# switchport trunk encapsulation dot1q L3-Switch(config-if)#switchport mode trunk L3-Switch(config-if)# exit

– Cấu hình giao diện SVI:

L3-Switch# conf t L3-Switch(config)# interface vlan10 L3-Switch(config-if)# ip address 192.168.10.1 255.255.255.0 L3-Switch(config-if)# no shut L3-Switch(config)# interface vlan20 L3-Switch(config-if)# ip address 192.168.20.1 255.255.255.0 L3-Switch(config-if)# no shut L3-Switch(config-if)# exit

– Cấu hình cổng định tuyến kết nối với tường lửa:

L3-Switch# conf t L3-Switch(config)# interface fa0/0 L3-Switch(config-if)# description to Internet Firewa L3-Switch(config-if)# no switchport L3-Switch(config-if)# ip address 192.0.0.1 255.255.255.252 L3-Switch(config)# ip route 0.0.0.0 0.0.0.0 192.0.0.2 L3-Switch(config-if)# exit

Mong rằng qua bài viết này, bạn đã có cái nhìn chi tiết và đầy đủ nhất về việc định tuyến giữa các VLAN. Nếu có câu hỏi thắc mắc, hãy để lại ở phần bình luận để mình giải đáp chi tiết nhất!

22 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Hướng dẫn cấu hình Private VLAN chi tiết bằng ví dụ thực tế

Trong bài viết trước chúng ta đã đi tìm hiểu chi tiết từ khái niệm, cách thức hoạt động, phân loại và những hạn chế của Private VLAN hay VLAN riêng. Trong bài này, chúng ta sẽ đi tìm hiểu cách định cấu hình PVLAN chi tiết qua một ví dụ thực tế để bạn có cái nhìn trực quan nhất!

Lưu ý khi cấu hình PVLAN

VTP (VLAN Trunking Protocol) là một giao thức được sử dụng để đồng bộ hóa thông tin về VLAN giữa các switch trong một mạng LAN. Khi chúng ta định cấu hình các VLAN riêng trên một switch và muốn tránh việc thông tin VLAN này được chia sẻ tự động với các switch khác trong mạng, chúng ta thường chuyển chế độ VTP thành Transparent.

Trong chế độ Server hoặc Client, một switch có thể gửi thông tin về VLAN của nó đến các switch khác trong cùng một domain VTP. Điều này có thể dẫn đến rủi ro khi một người quản trị thực hiện các thay đổi không cẩn thận trên một switch, và những thay đổi này được tự động chuyển đến các switch khác.

Chuyển sang chế độ Transparent giữ cho switch đó không thể nhận và chấp nhận bất kỳ thay đổi nào về VLAN từ các switch khác. Switch ở chế độ Transparent sẽ giữ lại kiểm soát lớn hơn về việc quản lý và duy trì VLAN của mình.

Một số switch có thể yêu cầu thiết lập phần cứng cụ thể để hỗ trợ PVLAN. Trước khi triển khai PVLAN, hãy kiểm tra tài liệu của nhà sản xuất để đảm bảo rằng switch được cấu hình đúng.

PVLAN tập trung vào kiểm soát giao tiếp tầng 2, nên nó không thay đổi giao tiếp tầng 3. Nếu bạn muốn kiểm soát giao tiếp ở cả hai tầng, bạn có thể cần sử dụng các phương pháp khác như ACL (Access Control Lists) hoặc Firewall.

Việc quản lý PVLAN có thể trở nên phức tạp khi số lượng PVLAN và cấu hình tăng lên. Việc sử dụng công cụ quản lý mạng thích hợp và theo dõi cẩn thận là quan trọng.

Cấu hình Private VLAN chính xác

Để hiểu rõ về cách cấu hình PVLAN, ta sẽ đi vào một ví dụ cụ thể như sau:

Ta có một sơ đồ mạng với 1 Switch (SW1) nối với 4 máy tính và 1 máy chủ lần lượt là:

Máy tính 1 (H1) địa chỉ IP: 192.168.1.1/24 và giao diện kết nối với SW1 là Fa0/1.
Máy tính 2 (H2) địa chỉ IP: 192.168.1.2/24 và giao diện kết nối với SW1 là Fa0/2.
Máy tính 3 (H3) địa chỉ IP: 192.168.1.3/24 và giao diện kết nối với SW1 là Fa0/3.
Máy tính 4 (H4) địa chỉ IP: 192.168.1.4/24 và giao diện kết nối với SW1 là Fa0/4.
Máy chủ (S1) địa chỉ IP: 192.168.1.254/4 và giao diện kết nối với SW1 là Fa0/24.

Để hình dung rõ nhất, hãy quan sát sơ đồ mạng dưới đây:

Bây giờ ta sẽ cấu hình theo các yêu cầu sau:

Primary VLAN có ID là 500.
Community VLAN có ID là 501.
Isolated VLAN có ID là 502.
H1 và H2 nằm trong Community VLAN phải có thể kết nối với nhau và cũng đến máy chủ kết nối với cổng chế độ chủ động.
H3 và H4 trong Isolated VLAN chỉ có thể giao tiếp với máy chủ trên cổng chế độ chủ động.
Máy chủ phải có thể kết nối với tất cả các cổng.

Để thực hiện những yêu cầu trên ta sẽ cần phải thực hiện các việc sau:

Định cấu hình VTP thành chế độ Transparent.
Tạo các VLAN
Cấu hình cổng promiscuous (kết nối với máy chủ)
Cấu hình cổng host thuộc Secondary Community VLAN
Cấu hình cổng host thuộc Secondary Isolated VLAN

Dưới đây là lệnh cấu hình chi tiết như sau:

Chuyển chế độ VTP thành Transparent:

SW1(config)#vtp mode transparent Setting device to VTP TRANSPARENT mode

Tạo các VLAN:

Switch(config)# vlan 500 Switch(config-vlan)# name Primary_VLANSwitch(config)# vlan 501 Switch(config-vlan)# name Secondary_Community_VLANSwitch(config)# vlan 502 Switch(config-vlan)# name Secondary_Isolated_VLAN

Cấu hình cổng promiscuous (kết nối với máy chủ):

Switch(config)# interface fa0/24 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 500 501 502

Cấu hình cổng host thuộc Secondary Community VLAN:

Switch(config)# interface range fa0/1 - 2 Switch(config-if-range)# switchport mode private-vlan host Switch(config-if-range)# switchport private-vlan host-association 500 501

Cấu hình cổng host thuộc Secondary Isolated VLAN:

Switch(config)# interface range fa0/3 - 4 Switch(config-if-range)# switchport mode private-vlan host Switch(config-if-range)# switchport private-vlan host-association 500 502

Giải thích các câu lệnh PVLAN

switchport mode private-vlan host: Lệnh này được sử dụng để đặt cổng switch vào chế độ host trong môi trường Private VLAN. Các cổng ở chế độ host sẽ thuộc một VLAN con trong PVLAN (VLAN cộng đồng hoặc VLAN cô lập).
switchport private-vlan host-association 500 502: Lệnh này xác định các VLAN chính và cô lập mà cổng ở chế độ host sẽ thuộc vào. Trong trường hợp này, cổng được liên kết với VLAN chính là 500 và VLAN cô lập là 502.
switchport mode private-vlan promiscuous: Lệnh này được sử dụng để đặt cổng switch vào chế độ promiscuous. Cổng ở chế độ promiscuous thường kết nối với một máy chủ hoặc thiết bị khác và có thể giao tiếp với tất cả các port trong PVLAN.
switchport private-vlan mapping 500 501 502: Lệnh này ánh xạ các VLAN chính, cộng đồng, và cô lập vào cổng ở chế độ promiscuous. Trong trường hợp này, cổng promiscuous được ánh xạ với VLAN chính 500, VLAN cộng đồng 501, và VLAN cô lập 502.
private-vlan primary: Lệnh này được sử dụng trong cấu hình VLAN để đặt VLAN làm VLAN chính trong một PVLAN. Các port thuộc VLAN chính có thể giao tiếp với các port ở chế độ promiscuous và cô lập.
private-vlan community: Lệnh này được sử dụng để đặt VLAN làm VLAN cộng đồng trong một PVLAN. Các port thuộc VLAN cộng đồng có thể giao tiếp với nhau và với các port ở chế độ promiscuous.
private-vlan isolated: Lệnh này được sử dụng để đặt VLAN làm VLAN cô lập trong một PVLAN. Các port thuộc VLAN cô lập chỉ có thể giao tiếp với các port ở chế độ promiscuous, không thể giao tiếp với nhau hay với các port thuộc VLAN cộng đồng.

Trên đây là những chia sẻ chi tiết của mình về cách định cấu hình PVLAN. Hãy nghiên cứu thật kỹ và căn cứ vào từng đặc điểm cấu hình của hãng sản xuất Switch để đưa ra cách cấu hình chính xác nhất! Nếu có câu hỏi nào liên quan đến bài viết, hãy để lại dưới phần bình luận để được hỗ trợ giải đáp tốt nhất!

22 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Private VLAN là gì? Giải thích chi tiết về PVLAN và cách hoạt động

Bài viết này chúng ta sẽ đi tìm hiểu chi tiết hơn về VLAN, cụ thể là Private VLAN để xem nó hoạt động như thế nào? Cách chia nhỏ mạng VLAN thành các miền phụ độc lập và cách giao tiếp giữa các loại cổng bị cô lập.

Private VLAN là gì?

Private VLAN hay còn được gọi là VLAN riêng hoặc cách ly cổng, là kỹ thuật được sử dụng để ngăn chặn truy cập trực tiếp giữa các thiết bị trong cùng một mạng LAN. Theo đó, VLAN sẽ chứa các cổng hạn chế sao cho chỉ có thể giao tiếp với một cổng Uplink. Một PVLAN sẽ chứa nhiều cổng hạn chế và một đường Uplink duy nhất. Đường Uplink có thể là một cổng hoặc nhóm liên kết LAG và thường kết nối với bộ định tuyến, tường lửa, máy chủ,….

Mục đính sử dụng PVLAN là gì?

Mạng VLAN chia mạng thành các miền quảng bá nhỏ hơn ở lớp 2 trong mô hình OSI. Các thiết bị trong cùng một mạng VLAN mới có thể giao tiếp với nhau. Để một thiết bị từ VLAN này giao tiếp với thiết bị VLAN khác ta sẽ cần sử dụng Inter định tuyến VLAN.

Nhưng nếu ta muốn trong cùng một VLAN, khoanh vùng 1 số máy tính hoặc máy chủ nhất định không thể giao tiếp với các thiết bị trong cùng VLAN. Hay ta muốn cô lập một số thiết bị trong một VLAN thì phải làm thế nào?

Private VLAN hay VLAN riêng được sử dụng để giải quyết vấn đề này. PVLAN sẽ chia miền quảng bá tại lớp 2 thành các miền phụ nhỏ, được gọi là PVLANs (Secondary VLANs). Các thiết bị trong cùng một mạng PVLAN có thể giao tiếp với nhau nhưng không thể giao tiếp với các thiết bị khác ngoài PVLAN đó.

Private VLAN hoạt động như thế nào?

Về cơ bản PVLAN hoạt động bằng cách chia VLAN thành VLAN phụ. Như đã nói ở trên, mỗi VLAN riêng sẽ chứa nhiều cổng riêng hay cổng hạn chế và các cổng này chỉ có thể liên kết với một cổng đường lên.

Khi nhận các khung dữ liệu từ cổng riêng tư (Private Port), PVLAN chuyển tiếp chúng đến cổng uplink mà không quan tâm đến VLAN ID hay địa chỉ MAC đích. Ngược lại, khung dữ liệu từ cổng uplink được chuyển tiếp theo cách thông thường, tới cổng nơi chứa địa chỉ MAC đích hoặc tất cả các cổng trong VLAN cho khung dữ liệu broadcast hoặc địa chỉ MAC đích không xác định.

Một đặc điểm đáng chú ý của PVLAN là khả năng chặn trực tiếp giao tiếp peer-to-peer giữa các thiết bị thông qua switch. Điều này đặt ra một lớp cách ly tại tầng dữ liệu, giúp ngăn chặn các tấn công bảo mật như ARP spoofing và giảm rủi ro tổn thất do cấu hình sai lầm.

Mặc dù PVLAN mang lại sự cách ly tại tầng dữ liệu, tuy nhiên khả năng giao tiếp ở các tầng cao hơn như tầng IP vẫn có thể được duy trì, phụ thuộc vào cấu hình mạng tiếp theo. Ứng dụng thực tế của PVLAN rất đa dạng, từ việc cung cấp truy cập Internet cho từng phòng trong khách sạn đến việc ngăn chặn tấn công bảo mật trong các thiết bị DSLAMs dựa trên Ethernet.

Cuối cùng, PVLAN cũng hỗ trợ quản lý địa chỉ IP một cách linh hoạt. Mặc dù các cổng có thể được cách ly tại tầng dữ liệu nhưng vẫn thuộc cùng một địa chỉ IP subnet, giúp đơn giản hóa việc quản lý và cấp phát địa chỉ IP trong mạng. Điều này thường được thực hiện để ngăn chặn giao tiếp trực tiếp giữa các máy chủ IP trên các cổng bảo vệ, đồng thời chỉ cho phép thông qua kết nối uplink, sử dụng các giải pháp như MAC-Forced Forwarding hoặc Proxy ARP.

PVLAN đóng vai trò quan trọng trong việc xây dựng mạng an toàn và linh hoạt, mang lại sự kiểm soát cao và tính an toàn cho các ứng dụng và môi trường mạng đa dạng.

Private VLAN có những loại nào?

PVLAN được chia thành 2 loại chính:

1. Primary VLAN

Primary VLAN hay được gọi là VLAN chính. Nó đóng vai trò như trục cơ bản, gắn kết tất cả các cổng PVLAN. Tất cả các cổng trong VLAN riêng đều thuộc về Primary VLAN và chỉ có 1 VLAN chính trong một PVLAN.

2. Secondary VLAN

Secondary VLAN được gọi là VLAN phụ. Nó là các VLAN được chia nhỏ hơn từ một VLAN riêng. Điều này có nghĩa là một PVLAN có thể chứa nhiều VLAN phụ khác nhau. VLAN phụ được chia nhỏ hơn thành 2 loại chính gồm:

Isolated VLAN (VLAN biệt lập): Các thiết bị trong Isolated VLAN chỉ có thể giao tiếp với cổng promiscuous được liên kết và không thể giao tiếp trực tiếp với các thiết bị khác ở tầng 2.
Community VLAN (VLAN cộng đồng): Các thiết bị trong cùng một Community VLAN có thể giao tiếp với nhau và với cổng promiscuous liên kết. Tuy nhiên, các thiết bị thuộc các Community VLAN khác nhau không thể giao tiếp trực tiếp ở tầng 2.

Các loại cổng trong Private VLAN

Trong PVLAN, các loại cổng được phân thành các nhóm khác nhau dựa trên tính chất và vai trò của chúng trong mô hình cách ly và kiểm soát truy cập:

1. Promiscuous Port

Promiscuous Port là cổng được liên kết với một hoặc nhiều Secondary VLAN trong một PVLAN. Cổng này có khả năng giao tiếp với tất cả các cổng trong Primary VLAN, Isolated VLANs và tất cả các Community VLANs.

Cổng này thường được sử dụng để làm cổng kết nối với router hoặc switch core. Điều này giúp router hoặc switch core làm trung tâm giao tiếp cho toàn bộ mạng PVLAN.

2. Isolated Port

Isolated Port là cổng được liên kết với Isolated VLAN, nơi mà các thiết bị chỉ có thể giao tiếp với Promiscuous Port. Giao tiếp trực tiếp giữa các Isolated Ports không được phép, tăng cường tính an toàn.

Loại cổng này thường được sử dụng để cổng kết nối với một máy chủ chứa dữ liệu quan trọng. Điều này giúp bảo vệ dữ liệu quan trọng khỏi sự truy cập trực tiếp từ các thiết bị khác trong mạng PVLAN.

3. Community Port

Community Port là cổng được liên kết với một hoặc nhiều Community VLAN, nơi các thiết bị có thể giao tiếp với nhau và với Promiscuous Port. Giao tiếp giữa các Community Ports của các Community VLAN khác nhau không được phép ở tầng 2.

Ứng dụng loại cổng này hay gặp nhất là làm cổng kết nối với một nhóm máy tính trong cùng một bộ phận của công ty. Do đó, ta có thể tạo ra một môi trường chia sẻ tài nguyên và thông tin giữa các thành viên trong cùng một nhóm nhưng không giao tiếp với các nhóm khác.

Những hạn chế của Private VLAN

Khi sử dụng PVLAN ta cần phải cân nhắc đến những hạn chế của nó như: cấu hình phức tạp, bảo mật hạn chế hơn so với các phương pháp bảo mật khác, thậm chí nếu không triển khai đúng cách có thể gây giảm hiệu suất của mạng. Và khi cơ sở hạ tầng của PVLAN hỏng thì tất cả các thiết bị trong VLAN sẽ bị ảnh hưởng.

Một điểm hạn chế của PVLAN là nó không hỗ trợ cho một số giao thức khác như: DTP, PAgP, LACP, MVR, Voice VLAN, ERP, Q-IN-Q,… Do đó, ta cần phải cân nhắc kỹ trước khi thực hiện PVLAN.

Thêm một lưu ý nhỏ nữa, Một cổng không thể cấu hình tham gia vào hai Primary khác nhau mà nó chỉ có thể xuất hiện trong một PVLAN duy nhất. Ta cũng không thể cấu hình PVLAN trên VLAN 1, và VLAN 1002 đến 1005 vì đây là những VLAN đặc biệt.

Trên đây là các chia sẻ của mình để giúp bạn hiểu rõ hơn về VLAN và Private VLAN. Nếu còn thắc mắc điều gì? Hãy để lại câu hỏi dưới phần bình luận để mình giải đáp giúp bạn!

22 Th1 2024

hiểu cách đường hầm Q-IN-Q hoạt động và cấu hình

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Tìm hiểu về Q-IN-Q 802.1Q và cách cấu hình

Trong các bài viết trước, mình đã giới thiệu về VLAN, giao thức 802.1Q. Trong bài viết hôm nay ta sẽ đi tìm hiểu về đường hầm Q-IN-Q và cách nó hoạt động như thế nào?

Giới thiệu về Q-IN-Q

802.1Q Tunneling, hay còn được biết đến với tên gọi Q-in-Q, là một phương pháp được sử dụng trong mạng để tạo ra các kết nối ảo và truyền tải các giao dịch mạng VLAN qua một mạng VLAN khác. Đây là một phương pháp mở rộng của giao thức 802.1Q, mà thường được sử dụng để xác định các khối dữ liệu của mạng trong các môi trường LAN.

Khi triển khai 802.1Q Tunneling, các khối dữ liệu VLAN được đóng gói bằng thêm một tiêu đề VLAN bổ sung. Điều này tạo ra một lớp “outer VLAN” và một lớp “inner VLAN. Lớp outer VLAN chủ yếu được sử dụng để định tuyến qua mạng truyền trực tiếp, trong khi lớp inner VLAN chứa thông tin VLAN thực sự của người gửi.

Một số ứng dụng thực tế của 802.1Q Tunneling bao gồm việc tạo ra các kết nối mạng ảo giữa các địa điểm khác nhau trong một tổ chức hoặc truyền dữ liệu qua các mạng cơ sở hạ tầng được quản lý bởi các nhà cung cấp dịch vụ.

Trong quá trình hoạt động, switch hỗ trợ 802.1Q Tunneling sẽ thêm thêm một tiêu đề VLAN (Q-in-Q) vào gói tin khi chúng đi qua. Điều này giúp duy trì tính cô lập của các mạng VLAN và tăng khả năng mở rộng của hệ thống mạng.

Hãy nhớ rằng 802.1Q Tunneling đặc biệt hữu ích khi cần truyền tải dữ liệu VLAN qua mạng WAN hoặc giữa các trung tâm dữ liệu có cấu trúc VLAN khác nhau.

Cách Q-IN-Q hoạt động

Để hình dung rõ hơn, ta sẽ đi vào một ví dụ thực tế về cách hoạt động của Q-IN-Q dưới đây:

Ở mô hình trên ta thấy có hai Router (R1 và R2). Bây giờ ta sẽ coi các Router này là trang web của khách hàng mà chúng ta muốn kết nối qua mạng nhà cung cấp dịch vụ (bao gồm 3 Switch: SW1, SW2 và SW3). Khách hàng muốn sử dụng VLAN 12 giữa 2 điểm và nhà cung cáp vận chuyển dữ liệu từ R1 sang R2.

Lúc này ta sẽ sử dụng Q-IN-Q, trong khi R1 và R2 sử dụng VLAN 12 cho lưu lượng trang web thì nhà cung cấp dịch vụ sử dụng VLAN 123 để chuyển tiếp dữ liệu. Hãy xem hình ảnh dưới đây để hiểu rõ phần TAG VLAN trên các khung dữ liệu khi gửi từ R1 tới R2 biến đổi như nào?

Theo đó, khi R1 muốn gửi lưu lượng, thẻ TAG VLAN 12 sẽ được thêm vào Frame. Sau đó, khi lưu lượng tới nhà mạng, SW1 sẽ thêm 1 thẻ TAG VLAN 123 bổ sung. Khi SW2 chuyển tiếp dữ liệu thì nó sẽ xóa thẻ TAG bổ sung đi và chuyển tiếp khung gắn thẻ ban đầu từ R1.

Ta có thể thấy rõ sự khác nhau về cấu trúc gói tin được biến đổi trong quá trình Q-IN-Q như sau:

Cách cấu hình Q-IN-Q

Tiếp túc với ví dụ ở trên, bây giờ ta sẽ đi vào cách để cấu hình thực tế trong ví dụ trên như thế nào?

Để cấu hình ta sẽ cần phải thực hiện các việc sau:

Định cấu hình VLAN trên R1 và R2.
Định cấu hình đường Trunk giữa SW1-SW3 và SW3-SW2
Định cấu hình đường hầm Q-IN-Q trên SW1 và SW2 (vì đây là nơi mà thẻ TAG sẽ được thêm vào, nhưng ta cũng phải đảm bảo SW3 có cơ sở dữ liệu VLAN 123).

Cấu hình chi tiết của Router R1 và R2:

R1:

R1(config)#interface fastEthernet 0/0 R1(config-if)#no shutdown R1(config-if)#interface fastEthernet 0/0.12 R1(config-subif)#encapsulation dot1Q 12 R1(config-subif)#ip address 192.168.12.1 255.255.255.0

R2:

R2(config)#interface fastEthernet 0/0 R2(config-if)#no shutdown R2(config-if)#interface fastEthernet 0/0.12 R2(config-subif)#encapsulation dot1Q 12 R2(config-subif)#ip address 192.168.12.2 255.255.255.0

Ở trên ta đã định cấu hình cả 2 bộ định tuyến sử dụng mạng con 192.168.12.0 /24 và gắn TAG VLAN 12 vào các khung dữ liệu của chúng.

Cấu hình đường Trunk giữa các Switch:

SW1:

SW1(config)#interface fastEthernet 0/19 SW1(config-if)#switchport trunk encapsulation dot1q SW1(config-if)#switchport mode trunk

SW2:

SW2(config)#interface fastEthernet 0/21 SW2(config-if)#switchport trunk encapsulation dot1q SW2(config-if)#switchport mode trunk

SW3:

SW3(config)#interface fastEthernet 0/19 SW3(config-if)#switchport trunk encapsulation dot1q SW3(config-if)#switchport mode trunk SW3(config)#interface fastEthernet 0/21 SW3(config-if)#switchport trunk encapsulation dot1q SW3(config-if)#switchport mode trunk

Ở trên, ta đã cấu hình các đường Trunk trên các Switch cùng với các giao diện tương ứng.

Cấu hình đường hầm Q-IN-Q:

SW1:

SW1(config)#interface fastEthernet 0/1 SW1(config-if)#switchport access vlan 123 SW1(config-if)#switchport mode dot1q-tunnel

SW2:

SW2(config)#interface fastEthernet 0/2 SW2(config-if)#switchport access vlan 123 SW2(config-if)#switchport mode dot1q-tunnel

SW3:

SW3(config)#vlan 123

Như vậy là ta đã hoàn thành quá trình cấu hình đường hầm Q-IN-Q trong ví dụ trên. Dưới đây là các ý nghĩa lệnh cấu hình bạn cần biết:

“switchport mode dot1q-tunnel“: Đặt chế độ hoạt động của một cổng trên switch để sử dụng 802.1Q Tunneling (Q-in-Q).
“switchport access vlan“: Gán một cổng vào một VLAN cụ thể trong chế độ truy cập.
switchport trunk encapsulation dot1q“: Xác định giao thức đóng gói cho cổng trunk là 802.1Q
“switchport mode trunk“: Đặt chế độ hoạt động của cổng thành chế độ trunk.

Sau khi hoàn thành quá trình cấu hình, ta có thể kiểm tra bằng các lệnh “show vlan” và “show interfaces trunk“.

Mong rằng bài viết này đã giúp bạn hiểu rõ về tác dụng của đường hầm Q-IN-Q và cách sử dụng và cấu hình chi tiết như thế nào? Nếu bạn còn có vấn đề cần giải đáp, hãy để lại dưới phần bình luận để được hỗ trợ giải đáp tốt nhất!

20 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Tìm hiểu về Native VLAN, cách thay đổi và cấu hình

Theo mặc định, khi khơi động lần đầu tất cả các cổng của Switch đều thuộc về VLAN mặc định (Default VLAN). Nghĩa là tất cả các cổng đều cùng 1 miễn quảng bá. Khi đó nếu ta kết nối bất kỳ thiết bị như máy tính với cổng của Switch đều có thể giao tiếp với các thiết bị trên các cổng Switch. Hầu hết các nhà sản xuất và Cisco đều đặt VLAN1 là VLAN mặc định.

Khi triển khai VLAN trên mạng, ta tạo VLAN và gán các cổng trên Switch vào từng VLAN cụ thể. Mặc định mỗi cổng chỉ truyền dữ liệu thuộc về VLAN của nó. Do đó, ta sẽ phải cấu hình cổng Trunk (cổng trung kế) để kết nối giữa các Switch. Các đường Trunk sẽ cho phép truyền dữ liệu nhiều VLAN qua nó. Bằng cách sử dụng giao thức 802.1Q để gán TAG VLAN vào khung dữ liệu. Switch sẽ biết được thông VLAN ID để biết được dữ liệu này thuộc VLAN nào và chuyển tiếp dữ liệu qua các cổng tương ứng.

Nhưng nếu trong các thiết bị trong mạng có thiết bị không hỗ trợ thẻ TAG VLAN thì sao? Lúc này ta sẽ cần đến Native VLAN hay VLAN gốc. Native VLAN là VLAN đặc biệt có lưu lượng truy cập đi qua đường Trunk nhưng không chứa thẻ TAG VLAN. Cổng trung kế hỗ trợ cả lưu lượng truy cập từ nhiều VLAN, cũng như lưu lượng không đến từ VLAN. Theo mặc định VLAN gốc là VLAN 1 nhưng ta có thể thay đổi thành bất kỳ VLAN nào trong mạng. Native VLAN rất hưu ích khi xử lý gói tin VoIP.

Tác dụng của Native VLAN

Native VLAN tạo ra một kênh truyền thông trung tâm mà không yêu cầu các thiết bị kết nối hỗ trợ VLAN. Các khối dữ liệu truyền qua Native VLAN không được gắn thẻ VLAN ID, giúp đảm bảo tính tương thích với các thiết bị không hỗ trợ VLAN.
Native VLAN làm cầu nối giữa các thiết bị này mà không cần phải quan tâm đến các đặc điểm VLAN cụ thể.

Các đặc điểm của Native VLAN

Giá trị Native VLAN chỉ có giá trị tại 2 đầu đường Trunk: chúng ta cần xác định một VLAN cụ thể để được gọi là Native VLAN. Điều này giúp các thiết bị mạng biết rằng các khối dữ liệu không được gắn thẻ VLAN ID sẽ thuộc về VLAN nào.
Không ảnh hưởng nếu các đường trunk sử dụng Native VLAN khác nhau: Nếu có nhiều đường trunk, mỗi đường có thể được cấu hình để sử dụng một Native VLAN khác nhau. Điều này có nghĩa là các đường trunk có thể có sự khác biệt về Native VLAN mà không gây ảnh hưởng lẫn nhau. Mỗi đường trunk sẽ xác định và chuyển thông tin của Native VLAN của nó mà không can thiệp vào Native VLAN của các đường khác.
Mặc định Native VLAN là VLAN 1: Trong trường hợp không cấu hình Native VLAN, mặc định sẽ là VLAN 1. Điều này có thể xảy ra nếu không có yêu cầu cụ thể nào về việc đặt Native VLAN.

Lệnh thay đổi Native VLAN

Để thay đổi VLAN gốc trong mạng ta có thể sử dụng lệnh cấu hình sau:

enable configure terminal interface <tên đường trunk> switchport trunk native vlan <VLAN_ID>

Lưu ý: Trước khi thực hiện bất kỳ thay đổi nào, hãy đảm bảo bạn đã hiểu rõ về cấu hình mạng của bạn và xác nhận rằng các thay đổi không ảnh hưởng đến hoạt động của mạng.

Trường hợp sử dụng Native VLAN

Để hiểu rõ hơn ta sẽ đi vào một ví dụ thực tế sử dụng Native VLAN ra sao?

Giả sử ta có Access Point (điểm truy cập) kết nối với Switch bằng 1 cổng trung kế. AP cung cấp kết nối không dây cho hai SSID khác nhau: Mạng công ty và mạng khách. Hai mạng này tương ứng với VLAn 10 và VLAN 20. Lưu lượng quản lý của AP được liên kết bằng VLAN 100 và được đặt làm Native VLAN cho cổng trunk.

Theo đó, lưu lượng không được gắn thẻ TAg sẽ được VLAN 100 chuyển tiếp. Để thực hiện thiết lập này, ta sẽ cấu hình cổng chuyển mạch được kết nối với AP làm cổng trung kế và cho phép các VLAN cần thiết qua (10 và 20). Ngoài ra, ta sẽ đặt VLAN 100 làm Native VLAN cho cổng trunk.

Dưới đây là lệnh cấu hình chi tiết cho ví dụ này:

# Chuyển sang chế độ cấu hình

enable configure terminal

# Tạo VLANs cho mạng công ty, mạng khách và lưu lượng quản lý

vlan 10 name VLAN_10_Company vlan 20 name VLAN_20_Guest vlan 100 name VLAN_100_Management

# Cấu hình Native VLAN cho cổng trunk

interface <tên cổng trunk> switchport trunk native vlan 100

# Cho phép VLAN 10 và VLAN 20 qua cổng trunk

interface <tên cổng trunk> switchport trunk allowed vlan 10,20,100

# Cấu hình SSID và gán chúng vào VLAN tương ứng

interface GigabitEthernet0/1 # Thay thế bằng tên cổng thực tế switchport mode trunk switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,100

# Đặt IP và mặt nạ mạng cho VLAN 10

interface Vlan10 ip address 192.168.10.1 255.255.255.0

# Đặt IP và mặt nạ mạng cho VLAN 20

interface Vlan20 ip address 192.168.20.1 255.255.255.0

# Đặt IP và mặt nạ mạng cho VLAN 100 (Management)

interface Vlan100 ip address 192.168.100.1 255.255.255.0

Native VLAN không khớp

Khi Native VLAN không khớp khi 2 Switch được kết nối qua cổng Trunk. Có các VLAN gốc khác nhau được cấu hình trên cổng trung kế tương ứng của chúng. Khi không khớp VLAN gốc, lưu lượng không gán thẻ từ VLAN gốc của một bộ chuyển mạch được gắn thẻ không chính xác với VLAN gốc ở Switch đầu nhận. Lưu lượng sai có thể chuyển tiếp trong VLAN sai gây ra lỗ hổng cho các truy cập trái phép hoặc tạo ra vòng lặp trong mạng.

Để tránh tình trạng không khớp Native VLAN, ta cần phải đảm bảo rằng VLAN gốc được cấu hình nhất quán ở hai đầu của liên kết trung kế. Điều này sẽ ngăn ngừa rủi ro bảo mật tiềm ân và các sự cố mạng có thể xảy ra không khớp.

Bảng so sánh Native VLAN với VLAN mặc định

Naitve VLAN mặc định thường là VLAN 1 nên nó thường bị nhầm lẫn với Default VLAN. Dưới đây là bảng so sánh chi tiết sự khác nhau giữa 2 loại VLAN này:

Đặc điểm	Native VLAN	Default VLAN
Mặc định	Mặc định là VLAN 1 và có thể sửa đổi	Mặc định là VLAN 1 và không thể sửa đổi
Lưu lượng	Lưu lượng truy cập có thể được gửi bất kể Vlan mặc định và Vlan gốc giống hay khác nhau.	Lưu lượng truy cập sẽ được gửi khi cả Vlan mặc định và Vlan gốc đều giống nhau.
Tắt	Có thể tắt	Không thể tắt
Đóng gói	Chỉ hỗ trợ 802.1Q	Hỗ trợ 802.1Q và ISL
Thẻ Tag	Việc gắn thẻ TAG được cho phép nếu yêu cầu nhưng mặc định sẽ không có thẻ	Việc gắn thẻ được cho phép trong VLAN mặc định
Giá trị VLAN	Bất kỳ giá trị VLAN nào trên cổng Trunk	Mặc định là 1 và giá trị VLAN này có thể dùng nhưng không thể xóa. Giá trị VLAN từ 1002 đến 1005 là cho vòng mã và thông báo FDDI nên cũng không thể xóa.
Lưu lượng DTP	Được gửi	Không được gửi
Số lượng VLAN tối đa trên Switch	Số lượng Native VLAN tối đa bằng số lượng 802.1Q trên Switch	Một VLAN mặc định duy nhất trên 1 Switch

Trên đây là tất cả những chia sẻ của mình về Native VLAN, mong rằng bài viết này giúp bạn hiểu rõ hơn về loại VLAN này!

20 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Giải thích về 802.1Q hay Dot1Q chi tiết

Trong bài viết này, chúng ta sẽ đi tìm hiểu chi tiết về giao thức trung kế 802.1Q hay Dot1Q để xem cách nó đóng gói thẻ VLAN như thế nào?

Giới thiệu 802.1Q hay Dot1Q

802.1Q, hay còn được biết đến là VLAN tagging trong lĩnh vực mạng, là một tiêu chuẩn được đặt ra bởi IEEE để mở rộng khả năng của mạng LAN. “802.1Q” là một phần của chuẩn IEEE 802.1, và nó tập trung vào cách thức gắn thêm thông tin về Virtual LANs (VLANs) vào khung dữ liệu Ethernet.

Ta đã biết cổng trung kế truyền dữ liệu nhiều VLAN. Do đó, nó cần IEEE 802.1Q để phân biệt dữ liệu từ các VLAN trên khung Ethernet. Hầu hết các Router và Switch Cisco đều sử dụng 802.1Q làm giao thức trung kế để đóng gói và giải gói thông tin VLAN trên Frame Ethernet. Theo mặc định, một Switch chỉ hoạt động với VLAN duy nhất, giao thức trung kế cho phép nó hoạt động với nhiều VLAN.

Các đặc điểm của giao thức 802.1Q

802.1Q là một giao thức IEEE.
802.1Q hoạt động trên tất cả các bộ định tuyến và chuyển mạch.
802.1Q hoạt động với tất cả các loại liên kết Ethernet.
802.1Q chèn trường thẻ 4 byte vào tiêu đề của khung.
Chức năng 802.1Q ở lớp liên kết dữ liệu của mô hình OSI.
802.1Q là giao thức đóng gói mặc định cho Vlan trên tất cả các thiết bị Cisco.

Giao thức 802.1Q hoạt động như thế nào?

Khi một thiết bị mạng (thường là switch) nhận được một khung dữ liệu từ một thiết bị khác, nó kiểm tra xem khung dữ liệu đó đã được gắn thêm thẻ VLAN chưa. Nếu khung dữ liệu chưa có thẻ VLAN, switch sẽ thêm một thẻ VLAN với độ dài 4 byte vào header của khung dữ liệu.

Thẻ VLAN bao gồm một số trường quan trọng, trong đó VLAN ID là thông tin quan trọng nhất. VLAN ID xác định mạng VLAN mà khung dữ liệu thuộc về. Trong quá trình này, VLAN ID đặc trưng cho một VLAN cụ thể trong hệ thống.

Trong cấu trúc thẻ TAG VLAN gồm:

2 Byte đầu tiên là mã định danh giao thức.
3 Bit theo quy định mức độ ưu tiên.
Bit thứ 4 được sử dụng trong môi trường Token Ring.
12 Bit cuối cùng dành cho VLAN ID.

Khi switch nhận biết VLAN ID trong thẻ VLAN, nó sẽ xác định đúng cổng và VLAN tương ứng để chuyển tiếp khung dữ liệu đến. Dữ liệu được chuyển tiếp trong mạng VLAN cụ thể mà không gây ảnh hưởng đến các VLAN khác.

Ví dụ thực tế

Hình ảnh trên cho thấy mạng gồm 2 bộ chuyển mạch và cấu hình VLAN. Cả 2 Switch đều kết nối thông qua một liên kết trung kế. Các cổng trung kế trên cả 2 hai Switch đều dùng 802.1Q và có thiết bị cuối từ VLAN-10.

Giả sử PC-A gửi tin nhắn broadcast. Tin nhắn này đến cổng F0/1 của Switch S1. Switch S1 kiểm tra VLAN được cấu hình trên cổng F0/1. VLAN-10 được cấu hình trên cổng F0/1. Lúc này S1 chuyển tiếp tin nhắn từ tất cả các cổng thuộc VLAN-10.

Trong các cổng có một cổng trung kế thuộc cả VLAN-10 và VLAN-20. Nó chèn 1 thẻ TAG vào tất cả các khung trước khi chuyển tiếp chúng. S2 nhận được khung từ S1 và đọc TAG VLAN trên khung biết được dữ liệu này thuộc về VLAN-10. S2 sẽ xóa bỏ TAG trong Frame và chuyển tiếp dữ liệu trên cổng VLAN-10.

Ưu điểm của giao thức 802.1Q

Giao thức 802.1Q chỉ thêm 4 Byte vào Frame nên kích thước khung không vượt quá 1518 Byte. Do đó, Frame có thể được gửi từ bất kỳ cổng thông thường nào. Điều này có nghĩa là ta sẽ không cần sử dụng cổng Fast Ethernet hay Gigabit Ethernet.

Một điều nữa giao thức Dot1Q là tiêu chuẩn IEEE nên có thể sử dụng để tạo đường trunk giữa các thiết bị của các nhà sản xuất thiết bị khác nhau.

Thẻ VLAN chỉ được chèn trên thiết bị gửi. Khi tới thiết bị nhận nó sử dụng VLAN ID trong TAG để xác định VLAN thuộc về và loại bỏ TAG khỏi các khung trước khi chuyển tiếp khung từ các cổng VLAN của nó.

Trên đây là tất cả những chia sẻ mà mình muốn gửi tới các bạn về giao thức 802.1Q, nếu còn thắc mắc hãy để lại dưới phần bình luận để được mình hỗ trợ giải đáp chi tiết!

19 Th1 2024

0 Comments By Nguyễn Thành Hợp Kiến Thức Mạng, Tin tức CCNA, Switch chia mạng

Hướng dẫn cấu hình STP (Spanning Tree Protocol) trên Switch

Trong viết giới thiệu về giao thức STP, mình đã trình bày chi tiết về vai trò, cách thức hoạt động của loại giao thức này. Trong bài viết hôm nay, chúng ta sẽ tìm hiểu cụ thể về cách cấu hình giao thức STP. Nếu bạn chưa hiểu rõ về giao thức này. Hãy nhớ đọc bài viết trước của mình tại đây để hiểu rõ hơn rồi quay lại bài viết này!

Để cấu hình giao thức STP cần phải làm gì?

Để thiết lập cấu hình giao thức STP, ta cần phải thực hiện các vấn đề sau:

Xác định Root Bridge: Xác định switch nào sẽ làm root bridge trong mạng của bạn. Có thể thiết lập ưu tiên (priority) cho switch để ổn định quá trình ứng cử.
Kiểm soát Cổng: Xác định cổng nào trở thành root port và designated port trên mỗi switch. Điều này có thể được tự động xác định thông qua quá trình gửi Bridge Protocol Data Units (BPDU).
Cấu hình PortFast (tùy chọn): Nếu có các cổng kết nối đến thiết bị cuối cùng như máy tính hoặc server, có thể cấu hình PortFast để giảm thời gian học địa chỉ MAC.
Cấu hình bảo vệ Loop: Kích hoạt tính năng loop guard để ngăn chặn vấn đề vòng lặp. Sử dụng Root Guard để bảo vệ root bridge khỏi bị thay đổi bởi các BPDU giả mạo.
Cấu hình cơ sở dữ liệu STP: Kiểm soát cơ sở dữ liệu STP bằng cách sử dụng các lệnh như show spanning-tree để kiểm tra trạng thái của các cổng và switch trong mạng.

Lệnh cấu hình giao thức STP

Để kích hoạt giao thức STP, ta có thể kích hoạt trên toàn mạng hoặc dựa trên VLAN dựa trên cổng, một cổng cụ thể hoặc cổng LAG. Dưới đây là hướng dẫn chi tiết về lệnh cấu hình STP:

B1: Đăng nhập vào Switch và chuyển sang chế độ cấu hình Global:

Switch> enable Switch# configure terminal

B2: Kích hoạt STP

– Kích hoạt STP trên toàn mạng:

Switch(config)# spanning-tree mode rapid-pvst

– Kích hoạt STP trên VLAN dựa trên cổng:

Switch(config)# interface range fastEthernet 0/1 - 24 Switch(config-if-range)# spanning-tree vlan 10,20,30 root primary

Lệnh trên sẽ kích hoạt STP trên các cổng trong phạm vi từ FastEthernet 0/1 đến FastEthernet 0/24 cho các VLAN 10, 20, và 30. Có thể thay đổi VLAN theo nhu cầu.

– Kích hoạt STP trên một cổng cụ thể:

Switch(config)# interface fastEthernet 0/1 Switch(config-if)# spanning-tree portfast

Lệnh trên sẽ kích hoạt tính năng PortFast cho một cổng cụ thể (FastEthernet 0/1). Cố gắng chỉ kích hoạt PortFast cho cổng kết nối đến thiết bị cuối cùng trong mạng.

– Kích hoạt STP trên cổng LAG:

Switch(config)# interface range gigabitEthernet 1/0/1 - 2 Switch(config-if-range)# channel-group 1 mode on Switch(config-if-range)# spanning-tree portfast trunk

Lệnh trên sẽ kích hoạt STP trên cổng thuộc LAG. Chú ý rằng cần tạo một EtherChannel (LAG) trước đó bằng cách sử dụng lệnh channel-group.

B3: Thay đổi tham số Root Bridge

– Thay đổi Forward Delay: Switch(config)# spanning-tree vlan 1 forward-time 15

– Thay đổi Hello Time: Switch(config)# spanning-tree vlan 1 hello-time 2

– Thay đổi Max Age: Switch(config)# spanning-tree vlan 1 max-age 20

– Thay đổi Priority: Switch(config)# spanning-tree vlan 1 priority 28672

Ta có thể thay đổi tất cả các tham số trên bằng 1 lệnh duy nhất như:

Switch(config-vlan-10)# spanning-tree forward-delay 4 hello-time 3 max-age 10 priority 0

Nếu bạn đã định cấu hình Vlan dựa trên cổng trên thiết bị, bạn chỉ có thể định cấu hình các tham số ở cấp cấu hình cho từng Vlan riêng lẻ.

B4: Thay đổi các tham số cổng STP

Sử dụng lệnh sau:

Switch(config-vlan-10)# spanning-tree ethernet 1/1/1 path-cost 15 priority 64

B5: Kích hoạt bảo vệ STP

Switch(config)# interface range gigabitEthernet 1/0/1 - 2 Switch(config-if-range)# spanning-tree bpdu guard

Lệnh trên sẽ kích hoạt tính năng BPDU Guard cho cổng thuộc phạm vi GigabitEthernet 1/0/1 đến 1/0/2.

Hoặc bạn có thể sử dụng lệnh sau: Switch(config-if-e1000-1/1/1)# stp-protect

B6: Xóa bộ đếm số lượng BPDU

– Xóa cho tất cả các cổng trên thiết bị: Switch# clear spanning-tree counters

– Xóa cho một cổng cụ thể: Switch# clear spanning-tree counters interface gigabitEthernet 1/0/1

Trên đây là những chia sẻ kỹ thuật của mình về việc cấu hình giao thức STP, nếu còn thắc mắc điều gì? Hãy để lại dưới phần bình luận để được mình hỗ trợ giải đáp!