Cách tạo, cấu hình và quản lý VLAN để phân đoạn mạng hiệu quả

1. Hiểu về VLAN và lợi ích của nó

• Phân đoạn mạng: VLAN cho phép bạn chia mạng thành các nhóm logic dựa trên chức năng, phòng ban hoặc ứng dụng.
• Bảo mật: Tách biệt lưu lượng giữa các VLAN, ngăn chặn truy cập trái phép giữa các phân đoạn mạng.
• Hiệu suất: Giảm broadcast domain, hạn chế lượng lưu lượng không cần thiết.
• Quản lý linh hoạt: Dễ dàng di chuyển, thêm hoặc thay đổi các thiết bị mà không cần thay đổi cấu trúc vật lý.

2. Tạo và cấu hình VLAN trên switch Cisco

a. Truy cập vào switch

• Kết nối với switch: Sử dụng cổng console hoặc thông qua SSH/Telnet.

• Đăng nhập vào chế độ đặc quyền

  enable
  

b. Tạo VLAN

• Vào chế độ cấu hình toàn cục:

  configure terminal
  

• Tạo VLAN với ID và tên:

  Lưu ý: VLAN ID từ 1 đến 4094. Tránh sử dụng VLAN 1 vì đây là VLAN mặc định.

  vlan 10
  name Sales
  exit
  
  vlan 20
  name Engineering
  exit
  
  vlan 30
  name HR
  exit
  

c. Gán cổng vào VLAN

• Gán các cổng vào VLAN tương ứng:

  interface range fastethernet 0/1-10
  switchport mode access
  switchport access vlan 10
  exit
  
  interface range fastethernet 0/11-20
  switchport mode access
  switchport access vlan 20
  exit
  
  interface range fastethernet 0/21-24
  switchport mode access
  switchport access vlan 30
  exit
  

  • interface range: Chọn nhiều cổng cùng lúc.
  • switchport mode access: Đặt cổng ở chế độ access.
  • switchport access vlan [VLAN_ID]: Gán cổng vào VLAN cụ thể.

d. Cấu hình cổng trunk (nếu cần)

• Cấu hình cổng trunk để truyền nhiều VLAN giữa các switch:

  interface gigabitethernet 0/1
  switchport mode trunk
  switchport trunk allowed vlan 10,20,30
  exit
  

  • switchport mode trunk: Đặt cổng ở chế độ trunk.
  • switchport trunk allowed vlan [VLAN_IDs]: Chỉ định các VLAN được phép truyền qua cổng trunk.

3. Quản lý VLAN

a. Kiểm tra cấu hình VLAN

• Xem danh sách các VLAN đã cấu hình:

  show vlan brief
  

• Kiểm tra trạng thái của các cổng:

  show interfaces status
  

• Kiểm tra các cổng trunk:

  show interfaces trunk
  

b. Thay đổi hoặc xóa VLAN

• Đổi tên VLAN:

  configure terminal
  vlan 10
  name Marketing
  exit
  

• Xóa VLAN:

  Lưu ý: Khi xóa VLAN, các cổng gán cho VLAN đó sẽ trở lại VLAN mặc định.

  configure terminal
  no vlan 30
  exit
  

c. Lưu cấu hình

• Lưu lại cấu hình để không bị mất khi khởi động lại:Hoặc:

  write memory
  

  copy running-config startup-config
  

4. Quản lý VLAN hiệu quả

a. Sử dụng VTP (VLAN Trunking Protocol)

• VTP giúp quản lý VLAN trên toàn bộ hệ thống switch.

• Chế độ VTP:

  • Server: Tạo, sửa, xóa VLAN và phân phối thông tin.
  • Client: Nhận thông tin VLAN từ server.
  • Transparent: Không tham gia VTP, quản lý VLAN cục bộ.

• Cấu hình VTP:

  Cảnh báo: Cẩn thận khi sử dụng VTP, cấu hình sai có thể gây mất VLAN trên toàn mạng.

  configure terminal
  vtp mode server  # Hoặc client, transparent
  vtp domain your_domain_name
  vtp password your_password
  exit
  

b. Cấu hình Inter-VLAN Routing

• Mỗi VLAN thường tương ứng với một subnet IP riêng.

• Sử dụng Router-on-a-Stick:

  • Trên router:

    interface gigabitethernet 0/0.10
    encapsulation dot1Q 10
    ip address 192.168.10.1 255.255.255.0
    exit
    
    interface gigabitethernet 0/0.20
    encapsulation dot1Q 20
    ip address 192.168.20.1 255.255.255.0
    exit
    
    interface gigabitethernet 0/0.30
    encapsulation dot1Q 30
    ip address 192.168.30.1 255.255.255.0
    exit
    

• Hoặc sử dụng SVI (Switch Virtual Interface) trên switch Layer 3:

  interface vlan 10
  ip address 192.168.10.1 255.255.255.0
  exit
  
  interface vlan 20
  ip address 192.168.20.1 255.255.255.0
  exit
  
  interface vlan 30
  ip address 192.168.30.1 255.255.255.0
  exit
  
  ip routing
  

c. Áp dụng chính sách bảo mật

• ACL (Access Control Lists): Kiểm soát lưu lượng giữa các VLAN.

• Port Security: Giới hạn số lượng MAC address trên mỗi cổng.

  interface fastethernet 0/1
  switchport port-security
  switchport port-security maximum 2
  switchport port-security violation shutdown
  switchport port-security mac-address sticky
  exit
  

5. Best Practices cho quản lý VLAN

• Lập kế hoạch phân đoạn mạng:
  • Xác định rõ nhu cầu và mục tiêu.
  • Đặt tên VLAN dễ hiểu và có ý nghĩa.
• Bảo mật:
  • Tránh sử dụng VLAN 1 cho dữ liệu người dùng.
  • Vô hiệu hóa cổng không sử dụng và đặt chúng vào VLAN không hoạt động.
  • Sử dụng BPDU Guard và Root Guard để bảo vệ STP.
• Quản lý địa chỉ IP:
  • Sử dụng DHCP với các scope riêng cho mỗi VLAN.
  • Theo dõi và ghi lại địa chỉ IP tĩnh.

6. Giám sát và kiểm tra

• Sử dụng lệnh kiểm tra:

  • Kiểm tra trạng thái VLAN:

    show vlan brief
    

  • Kiểm tra các cổng trunk:

    show interfaces trunk
    

  • Kiểm tra bảng địa chỉ MAC:

    show mac address-table
    

• Giám sát lưu lượng mạng:

  • Sử dụng các công cụ như SNMP, NetFlow để theo dõi.

• Kiểm tra kết nối:

  • Dùng ping và traceroute để kiểm tra kết nối giữa các VLAN.

7. Xử lý sự cố

• Thiết bị không kết nối được mạng:
  • Kiểm tra cổng đã được gán đúng VLAN chưa.
  • Kiểm tra trạng thái cổng (show interfaces status).
• Không giao tiếp được giữa các VLAN:
  • Kiểm tra cấu hình Inter-VLAN Routing.
  • Xác minh ACL không chặn lưu lượng.
• Vấn đề với VTP:
  • Đảm bảo domain và password VTP khớp nhau.
  • Kiểm tra phiên bản VTP (version 1, 2 hoặc 3).

Kết luận

Việc tạo, cấu hình và quản lý VLAN là một phần quan trọng trong việc xây dựng một mạng hiệu quả và bảo mật. Bằng cách tuân thủ các bước và best practices đã nêu, bạn có thể phân đoạn mạng một cách hợp lý, tăng cường hiệu suất và đơn giản hóa quá trình quản lý.