Bài 6: Mạng cục bộ ảo (VLAN) - Giáo trình thiết kế và xây dựng mạng LAN

Một vùng quảng bá (broadcast domain) là một tập hợp các thiết bị mạng mà trong đó, một gói tin quảng bá gửi đi từ một thiết bị sẽ được tất cả các thiết bị còn lại trong tập hợp đó nhận. Trong các mạng LAN cũ sử dụng hub, toàn bộ mạng là một vùng quảng bá duy nhất. Với sự ra đời của switch, mỗi cổng có thể tạo ra một vùng đụng độ (collision domain) riêng, nhưng mặc định, tất cả các cổng trên một switch vẫn thuộc chung một vùng quảng bá. Các router là thiết bị truyền thống dùng để ngăn chặn sự lan truyền của các gói tin quảng bá, vì chúng hoạt động ở Lớp 3 và không chuyển tiếp loại lưu lượng này. Mạng LAN ảo (VLAN) mang chức năng tương tự như router vào trong switch, cho phép tạo ra các ranh giới quảng bá một cách mềm dẻo. Bằng cách nhóm các cổng switch vào các VLAN khác nhau, nhà quản trị có thể tạo ra nhiều vùng quảng bá nhỏ hơn, độc lập với nhau trên cùng một cơ sở hạ tầng vật lý. Điều này làm giảm đáng kể lưu lượng không cần thiết, giải phóng băng thông và cải thiện hiệu suất chung của toàn hệ thống mạng.

Switch là thành phần trung tâm trong việc triển khai và vận hành VLAN. Các switch hiện đại cung cấp cơ chế thông minh để nhóm người dùng, cổng hoặc địa chỉ logic vào các cộng đồng riêng biệt. Để thực hiện điều này, switch sử dụng hai kỹ thuật chính: lọc khung (frame filtering) và nhận dạng khung (frame identification hay frame tagging). Switch chịu trách nhiệm đưa ra các quyết định lọc và chuyển tiếp các khung tin dựa trên các quy tắc VLAN do nhà quản trị mạng định nghĩa. Khi một khung tin đi vào một cổng switch, switch sẽ kiểm tra thông tin VLAN của khung tin đó để xác định nó nên được chuyển tiếp đến những cổng nào. Nếu khung tin thuộc VLAN 10, nó sẽ chỉ được gửi đến các cổng khác cũng thuộc VLAN 10. Các cổng thuộc VLAN 20 hay 30 sẽ không nhận được khung tin này, tạo ra một bức tường lửa ảo ở Lớp 2. Cơ chế này đảm bảo sự cô lập hoàn toàn về mặt logic giữa các phòng ban hoặc nhóm người dùng khác nhau dù họ đang kết nối vào cùng một thiết bị switch vật lý.

Trong một mạng phẳng, tất cả các thiết bị chia sẻ cùng một vùng quảng bá. Các giao thức mạng phổ biến như ARP và DHCP liên tục tạo ra các gói tin broadcast để hoạt động. Khi mạng phát triển với hàng trăm thiết bị, lượng broadcast này có thể chiếm một phần đáng kể băng thông tổng thể. Tình trạng này trở nên tồi tệ hơn khi một thiết bị gặp lỗi và liên tục gửi ra các gói tin broadcast, gây ra hiện tượng bão quảng bá. Cơn bão này có thể làm tê liệt hoàn toàn mạng, khiến các dịch vụ quan trọng không thể truy cập được. VLAN giải quyết triệt để vấn đề này bằng cách tạo ra các bức tường lửa ảo. Bằng cách gán các cổng hoặc người dùng vào các VLAN riêng biệt, các gói tin broadcast sẽ bị giới hạn trong phạm vi của từng VLAN. Một VLAN có kích thước càng nhỏ thì càng có ít thiết bị bị ảnh hưởng bởi lưu lượng quảng bá, từ đó bảo vệ hiệu suất chung và dành băng thông cho các ứng dụng thực sự cần thiết.

An ninh là một mối lo ngại lớn trong mạng phẳng. Vì tất cả lưu lượng đều có thể bị truy cập trên cùng một phân đoạn, thông tin nhạy cảm dễ dàng bị đánh cắp. Mạng LAN ảo (VLAN) tăng cường bảo mật bằng cách cô lập lưu lượng. Dữ liệu từ phòng Kế toán (VLAN 20) sẽ không thể bị truy cập bởi người dùng thuộc phòng Marketing (VLAN 30) trừ khi được router cho phép một cách tường minh. Về mặt quản trị, các doanh nghiệp có tỷ lệ di chuyển nhân sự từ 20% đến 40% hàng năm. Trong mạng truyền thống, mỗi lần di chuyển đòi hỏi cấu hình lại địa chỉ IP, đi lại dây cáp và chỉnh sửa trên router. Với VLAN, việc quản lý trở nên đơn giản. Một người dùng có thể di chuyển đến bất kỳ vị trí vật lý nào trong tòa nhà, chỉ cần cắm vào một cổng switch và cấu hình cổng đó thuộc về VLAN cũ của họ. Địa chỉ IP và các quyền truy cập của họ được giữ nguyên, giúp giảm thiểu đáng kể chi phí và thời gian quản trị.

Bảo mật là một trong những động lực chính để triển khai VLAN. Thay vì dựa vào các bức tường lửa vật lý đắt tiền, VLAN tạo ra các rào cản logic giữa các phân đoạn mạng. Ví dụ, máy chủ chứa dữ liệu tài chính có thể được đặt trong một VLAN riêng biệt và an toàn. Chỉ những người dùng thuộc VLAN Kế toán mới được phép truy cập vào máy chủ này thông qua các quy tắc được định nghĩa trên router hoặc switch Lớp 3. Mọi nỗ lực truy cập trái phép từ các VLAN khác sẽ bị chặn ngay ở cấp độ mạng. Kỹ thuật này ngăn chặn hiệu quả các cuộc tấn công nghe lén (snooping) và giảm thiểu bề mặt tấn công của mạng. Các tính năng bảo mật nâng cao hơn, như danh sách điều khiển truy cập (Access Control List - ACL), có thể được áp dụng cho từng VLAN để kiểm soát truy cập một cách chi tiết dựa trên địa chỉ IP, cổng hoặc loại ứng dụng.

Hiệu suất mạng được cải thiện rõ rệt khi triển khai VLAN. Bằng cách chia nhỏ một vùng quảng bá lớn thành nhiều vùng nhỏ hơn, VLAN giảm số lượng gói tin broadcast mà mỗi thiết bị phải xử lý. Điều này đặc biệt quan trọng trong các môi trường có nhiều ứng dụng tạo ra lưu lượng multicast hoặc broadcast, chẳng hạn như các ứng dụng đa phương tiện. Khi một cơn bão quảng bá xảy ra trong một VLAN, thiệt hại sẽ được giới hạn trong VLAN đó và không ảnh hưởng đến phần còn lại của mạng. Việc này giúp duy trì sự ổn định của toàn bộ hệ thống. Hơn nữa, việc giải phóng băng thông khỏi lưu lượng không cần thiết cho phép các ứng dụng kinh doanh quan trọng hoạt động với hiệu suất cao hơn, mang lại trải nghiệm tốt hơn cho người dùng cuối và tránh được tình trạng tắc nghẽn mạng.

Mạng LAN ảo (VLAN) cung cấp một cơ chế cực kỳ linh hoạt trong việc tổ chức và phân đoạn mạng. Nó cho phép nhóm các cổng switch và người dùng vào những cộng đồng có cùng mối quan tâm, bất kể vị trí vật lý của họ. Một VLAN có thể trải rộng trên nhiều switch khác nhau, thậm chí ở các tầng khác nhau hoặc các tòa nhà khác nhau trong một khuôn viên. Ví dụ, tất cả nhân viên phòng Marketing có thể thuộc cùng một VLAN, cho phép họ chia sẻ tài nguyên một cách an toàn và dễ dàng, dù họ ngồi ở bất kỳ đâu. Khi một nhân viên chuyển từ tầng 1 lên tầng 5, nhà quản trị mạng chỉ cần cấu hình cổng switch mới tại tầng 5 vào VLAN Marketing, và mọi thứ sẽ hoạt động như cũ mà không cần bất kỳ thay đổi nào khác.

Cơ chế lọc khung hoạt động tương tự như cách các router sử dụng danh sách điều khiển truy cập. Một bảng lọc được thiết lập trên mỗi switch, chứa các quy tắc để phân loại lưu lượng. Tùy thuộc vào độ phức tạp của switch, việc phân nhóm người dùng vào các VLAN có thể dựa trên địa chỉ MAC của máy trạm, loại giao thức ở tầng mạng (ví dụ: IP, IPX), hoặc thậm chí là cổng ứng dụng (ví dụ: HTTP, FTP). Khi một khung tin đi vào switch, nó sẽ được so sánh với các mục trong bảng lọc. Dựa trên kết quả so sánh, switch sẽ quyết định chuyển tiếp, quảng bá trong một VLAN cụ thể, hoặc loại bỏ khung tin. Mặc dù cung cấp khả năng kiểm soát chi tiết, kỹ thuật này yêu cầu quản lý và duy trì các bảng lọc lớn, trở nên cồng kềnh và không hiệu quả khi mạng có quy mô lớn.

Nhận dạng khung, hay Frame Tagging, là kỹ thuật được chuẩn hóa bởi IEEE 802.1Q. Đây là phương pháp được sử dụng rộng rãi nhất hiện nay. Khi một khung tin Ethernet thông thường từ một thiết bị đầu cuối đi vào một cổng switch (cổng access), switch sẽ chèn thêm một trường 4 byte vào tiêu đề của khung. Trường này được gọi là thẻ VLAN (VLAN tag), chứa một số nhận dạng VLAN ID (12 bit, cho phép có tối đa 4094 VLAN). Khung tin đã được gắn thẻ này sau đó được chuyển tiếp qua các liên kết trunk đến các switch khác. Các switch trên đường đi sẽ đọc VLAN ID từ thẻ để biết cách xử lý khung tin. Khi khung tin đến switch cuối cùng và chuẩn bị được gửi ra một cổng access để đến thiết bị đầu cuối, switch sẽ gỡ bỏ thẻ VLAN và khôi phục lại khung Ethernet nguyên bản. Kỹ thuật này rất hiệu quả, ít tốn tài nguyên xử lý và có khả năng mở rộng tuyệt vời cho các hệ thống mạng lớn.

VLAN tĩnh là mô hình cài đặt trong đó các cổng của switch được gán cố định vào một VLAN bởi nhà quản trị. Ví dụ, các cổng từ 1 đến 8 có thể được gán cho VLAN 10 (Phòng Kế toán), và các cổng từ 9 đến 16 được gán cho VLAN 20 (Phòng Marketing). Các cổng này sẽ thuộc về VLAN đã được gán cho đến khi nhà quản trị thay đổi cấu hình. Ưu điểm lớn của phương pháp này là tính bảo mật cao vì việc kiểm soát thành viên VLAN hoàn toàn nằm trong tay người quản trị. Nó cũng rất dễ cấu hình và theo dõi bằng các lệnh đơn giản trên switch. Mô hình VLAN tĩnh hoạt động tốt nhất trong các mạng mà ở đó sự di chuyển của người dùng được kiểm soát chặt chẽ và ít xảy ra, hoặc khi yêu cầu về an ninh là ưu tiên hàng đầu.

Trong mô hình VLAN động, việc gán một cổng switch vào một VLAN diễn ra một cách tự động. Khi một thiết bị được kết nối vào một cổng switch, switch sẽ truy vấn một cơ sở dữ liệu quản trị VLAN tập trung (ví dụ: VLAN Membership Policy Server - VMPS) để xác định thiết bị đó nên thuộc về VLAN nào. Việc xác định này thường dựa trên địa chỉ MAC của thiết bị. Ví dụ, tất cả các địa chỉ MAC của phòng Kỹ thuật đã được đăng ký trước vào VLAN 30. Khi bất kỳ máy tính nào trong số đó kết nối vào bất kỳ cổng nào, cổng đó sẽ tự động được cấu hình vào VLAN 30. Lợi ích lớn nhất của cách tiếp cận này là giảm thiểu công việc quản trị mạng khi người dùng di chuyển. Tuy nhiên, nó đòi hỏi một nỗ lực quản trị ban đầu đáng kể để thiết lập và duy trì cơ sở dữ liệu địa chỉ MAC chính xác.

Để một VLAN có thể mở rộng ra ngoài phạm vi một switch duy nhất, cần phải có một cơ chế để truyền tải thông tin của nhiều VLAN giữa các switch. Cơ chế này được gọi là Trunking. Một liên kết trunk là một kết nối điểm-điểm giữa hai thiết bị mạng (thường là hai switch) có khả năng mang lưu lượng của nhiều VLAN cùng một lúc. Điều này được thực hiện bằng cách sử dụng kỹ thuật nhận dạng khung (Frame Tagging) như IEEE 802.1Q. Mỗi khung tin đi qua đường trunk đều được gắn thẻ với VLAN ID của nó. Switch ở đầu bên kia sẽ đọc thẻ này để chuyển khung tin đến đúng VLAN đích. Kỹ thuật Trunking là nền tảng để xây dựng các mạng VLAN có quy mô lớn, cho phép người dùng trong cùng một VLAN giao tiếp với nhau dù họ đang kết nối vào các switch khác nhau nằm ở các vị trí địa lý xa nhau.

Vai trò của VLAN được thể hiện rõ nét qua bốn ưu điểm chính: tăng cường bảo mật, cải thiện hiệu suất, giảm chi phí và đơn giản hóa quản trị. Về bảo mật, VLAN tạo ra các ranh giới ảo, cô lập các phòng ban và tài nguyên quan trọng. Về hiệu suất, nó hạn chế các vùng quảng bá, ngăn chặn bão broadcast và giải phóng băng thông. Về chi phí, VLAN giúp tận dụng tối đa cơ sở hạ tầng switch hiện có và giảm chi phí vận hành liên quan đến việc di chuyển, thêm hoặc xóa người dùng. Cuối cùng, nó giúp việc quản trị mạng trở nên logic và tập trung hơn, độc lập với cấu trúc vật lý. Những lợi ích này làm cho VLAN trở thành một công nghệ nền tảng, bắt buộc phải có trong hầu hết các thiết kế mạng doanh nghiệp ngày nay.

Mặc dù là một công nghệ đã có từ lâu, VLAN vẫn liên tục phát triển để đáp ứng các yêu cầu mới của mạng hiện đại. Các xu hướng trong tương lai bao gồm việc tích hợp chặt chẽ hơn với các giải pháp mạng định nghĩa bằng phần mềm (SDN), nơi việc tạo và quản lý VLAN có thể được tự động hóa hoàn toàn thông qua các bộ điều khiển trung tâm. Công nghệ Private VLAN (PVLAN) cung cấp một lớp bảo mật chi tiết hơn bên trong một VLAN, rất hữu ích cho các nhà cung cấp dịch vụ hosting. Hơn nữa, các tiêu chuẩn như Shortest Path Bridging (SPB) và Transparent Interconnection of Lots of Links (TRILL) đang được phát triển để thay thế cho giao thức Spanning Tree Protocol (STP) truyền thống, cho phép xây dựng các kiến trúc VLAN Lớp 2 lớn hơn, linh hoạt và hiệu quả hơn. Do đó, Mạng LAN ảo sẽ tiếp tục là một công cụ quan trọng, thích ứng và phát triển cùng với sự tiến hóa của công nghệ mạng.