VLAN là gì ? Tại sao phải dùng VLAN?
1. An ninh mạng
Vấn đề đầu tiên đặt ra là truyền dữ liệu trên mạng truyền thống chỉ có một phân đoạn mạng. Bất cứ khi nào khi một trạm truyền thông tin trong một mạng truyền thống tất cả các máy trạm trong hệ thống đều nhận được bản tin đó, mặc dù nó không phải là người nhận.
Thông thường khi gói tin đến không đúng máy nhận nó sẽ được hủy tại máy nhận, nhưng vấn đề đặt ra ở đây là với những công cụ có sẵn, một người trong hệ thống có thể bắt lại các gói tin đi qua hệ thống, các gói tin này có thể chứa những thông tin quan trọng như mật khẩu hay những email nhạy cảm. Vấn đề an ninh của mạng lúc này là không còn được đảm bảo.
Vấn đề không chỉ sảy ra với hệ thống chỉ có một phân đoạn mạng mà cũng có thể sảy ra với hệ thông có nhiều phân đoạn. Một ví dụ như dưới đây sẽ mô tả cụ thể vấn đề này.
Vấn đề an ninh trong mạng truyền thống
Khi một người dùng ở phòng kế toán thuộc phân đoạn mạng A gửi thông tin đến một đồng nghiệp thuộc phân đoạn mạng B, thông tin này sẽ đi qua phân đoạn C trung gian, ở đây gói tin có thể bị bắt lại và thông tin sẽ bị khai thác. Vấn đề có thể được giải quyết bằng cách di chuyển các nhân viên thuộc phòng kế toán về một phân đoạn mạng. Điều này không khả thi vì giới hạn về vị trí địa lý.
Tuy nhiên ở đây nếu sử dụng công nghệ VLAN chúng ta hoàn toàn có thể giải quyết được vấn đề này. Với VLAN tất cả các nhân viên Kế toán sẽ thuộc cùng một VLAN và chỉ truyền thông tin với nhau trong một broadcast domain mà không bị giới hạn về vị trí địa lý. Lúc này nếu không phải nhân viên phòng Kế toán thì sẽ không thể truy cập vào mạng và lấy thông tin trong đó.
Ứng dụng công nghệ VLAN để bảo mật thông tin
Hình trên mô tả khi hai nhân viên kế toán thuộc hai phân đoạn mạng khác nhau hay hai vị trí địa lý cách xa nhau làm việc ở PC0 và PC1 truyền thông tin cho nhau qua mạng, nhưng gói tin vẫn truyền trong cùng một VLAN 1 mà không qua các VLAN 2,3 do đó thông tin được bảo mật.
2. Phân phối broadcast
Trước hết cần hiểu bản tin broadcast là gì, nói một cách dễ hiểu broadcast là bản tin PCto-all PC tức là khi một máy tạo và truyền bản tin broadcast trong hệ thống thì tất cả những máy còn lại sẽ nhận bản tin đó. Bản tin broadcast cần thiết để hỗ trợ trong hoạt động của các giao thức định tuyến, ARP, DHCP hay nhiều giao thứ khác. Vậy tại sao lại cần ngăn chặn broadcast trong mạng? Thực tế thì bản tin broadcast không mang thông tin của người sử dụng, nó chiếm băng thông trong hệ thống mạng để truyền đi. Broadcast cũng ảnh hưởng đến hiệu suất làm việc của các máy trạm trong hệ thống. Khi máy trạm nhận được một bản tin broadcast nó sẽ phải tiêu tốn CPU để xử lý gói tin đó mặc dù nó không phải là máy nhận. Quá trình này làm chậm lại quá trình xử lý của CPU và ảnh hưởng đến những ứng dụng khác đang chạy trên máy đó.
Công nghệ VLAN sẽ giúp giảm bớt ảnh hưởng của vấn đề broadcast đến băng thông hệ thống cũng như hiệu suất làm việc của máy trạm. Bằng cách tạo ra các VLAN và nhóm một nhóm làm việc vào chung một VLAN ta sẽ chia được các broadcast domain nhỏ hơn, và khi đó bản tin broadcast của VLAN này sẽ không ảnh hưởng đến VLAN khác, băng thông hệ thống được cải thiện, hiệu suất làm việc của máy trạm tăng lên.
3. Tận dụng băng thông
Khi người dùng tham gia vào một phân đoạn mạng, họ sẽ chia sẻ băng thông của phân đoạn đó. Càng nhiều người dùng trong một phân đoạn thì băng thông cho mỗi người dùng cảng giảm. Vấn đề không đáng kể nếu số lượng người dùng ít hoặc vừa phải, tuy nhiên nếu hệ thống ngày càng lớn, số người dùng tăng đáng kể, khi đó ta bắt đẩu cảm thấy sự quá tải của mạng. Việc truyền dữ liệu, hay làm việc trong hệ thống trở nên chậm chạm thậm chí có thể sảy ra tắc nghẽn không thể truyền. Khi đó người ta nghĩ đến công nghệ VLAN, VLAN giúp tăng băng thông cho người sử dụng trong một mạng chia sẻ. Bằng cách tạo thêm nhiều broadcast domain, mỗi VLAN sẽ hoạt động với băng thông vốn có của hệ thông nhưng số người dùng ít hơn, do đó băng thông chia cho mỗi người dùng sẽ tăng lên đáng kể.
4. Độ trễ của Router
Trong hệ thống mạng như trong 2.8 khi một người dùng ở phòng kế toán thuộc phân đoạn mạng A gửi thông tin đến một đồng nghiệp thuộc phân đoạn mạng B, thông tin này sẽ đi qua phân đoạn C trung gian, và hai router. Với những hệ thống định tuyến cũ, tốc độ chuyển gói tin chậm hơn so với chuyển mạch lớp 2. Khi một gói tin tới router nó cần truy vấn bảng định tuyến để quyết định đưa gói tin đó đến cổng nào và truyền đi, quá trình này dựa vào việc phân tích các thông tin lớp 3 của gói đến, do đó sẽ mất thời gian hơn việc phân tích thông tin lớp 2 trên Switch, càng qua nhiều router quá trình này càng làm tăng độ trễ. Bằng cách đưa hai nhân viên kế toán về một VLAN việc phải vượt qua nhiều phân đoạn mạng và nhiều router được loại bỏ, độ trễ sẽ cải thiện đáng kể.
5. Những danh sách truy cập phức tạp
Các bộ định tuyến của Cisco cho phép người quản trị có thể tạo ra một danh sách truy cập, quy định những chính sách nhất định đối với gói tin truyền qua nó. Bằng việc sử dụng danh sách truy cập người quản trị có thể chặn cụ thể một người dùng giao tiếp với một người dùng khác, hoặc ngăn chặn người dùng truy cập vào mạng hay toàn bộ mạng vào người dùng đó. Ngoài ra danh sách truy cập cũng giúp quản lý vấn đề an ninh mạng hay quản lý lưu lượng qua một phân đoạn mạng để không ảnh hưởng đến vấn đề băng thông.
Trong bất kỳ trường hợp nào, việc quản lý danh sách truy cập là một quá trình phức tạp, khi hệ thống phát triển lớn đó lại càng khó khăn hơn, và phải tuân theo các quy tắc của Cisco để có thể lọc các gói tin một cách chính xác.
Trong hệ thống mạng như hình 1, gói tin trao đổi giữa hai nhân viên kế toán thuộc phân đoạn mạng A và B luôn phải đi qua phân đoạn mạng C, mặc dù nó không bao giờ giao tiếp hữu ích với những nhân viên ở đây. Tuy nhiên trong quá trình này không đảm bảo những nhân viên kỹ thuật ở đây không kiểm tra hay quản lý lưu lượng qua nó. Để ngăn chặn điều này người quản trị mạng phải tạo ra những danh sách truy cập phức tạp. Một cách đơn giản hơn ta có thể sử dụng công nghệ VLAN, khi đó những nhân viên kế toán cùng một VLAN và thông tin trao đổi giữa họ sẽ chỉ trong VLAN mà người quản trị cấu hình mà không đi qua phân đoạn mạng của nhân viên thuộc phân đoạn mạng C.
Mời xem thêm