Là một trong những khái niệm của mạng ảo (virtual network), VLAN là một "mạng con luận lý" (logical subgroup) trong một mạng cục bộ (LAN) được tạo ra bằng cách thiết lập cấu hình (configured by software) bằng phần mềm chứ không phải "di chuyển cáp" hoặc sử dụng các thiết bị phần cứng độc lập (Hub/switch) nhằm cách ly giữa các nhóm "mạng con" với nhau. Tiện lợi của việc kết nối mạng cục bộ có rất nhiều như chia sẻ tài nguyên, dùng chung máy in ,chung kết nối Internet..., tối ưu hóa hiệu quả công việc kinh doanh, tiết kiệm thời gian, tiết kiệm chi phí xử lý dữ liệu, phân cấp quản lý và mật thông tin.... nhưng thực tế ít doanh nghiệp ý thức được ưu thế này. Tìm kiếm những lý do để thuyết phục sử dụng VLAN, bạn có thể dẫn chứng về khả năng bảo mật của các hệ điều hành mạng. Ở cấp mạng ngang hàng (peer-to-peer nerwork), bạn có khả năng bảo mật bằng cách tạo các mật khẩu (password) cho mỗi tài nguyên chia sẻ cho các người dùng khác trên mạng (share-level security). Ở các mạng máy tính Khách - Chủ (client-server network), việc bảo mật an toàn hơn nhờ cơ chế bảo mật của máy chủ với các hệ điều hành mạng cao cấp hơn (như Microsoft Windows NT Server và Novell Netware server). Do khả năng bảo mật dựa vào "tên & mật khẩu truy cập" (login name & password), mỗi người truy cập vào mạng đều phải cung cấp tên & mật khẩu. Tên và mật khẩu này đã được người quản trị mạng tạo sẵn (sau khi được tạo, mỗi người dùng trong mạng có thể đổi mật khẩu cá nhân theo ý riêng của mình) và ứng với mỗi tên khác nhau sẽ có những quyền truy cập khác nhau. Tuy nhiên, tất cả các phương pháp bảo mật trên có thể dễ dàng bị vô hiệu hoặc lộ mật khẩu. Trong trường hợp đó, VLAN có thể được sử dụng. Với VLAN, mọi người sử dụng trong công ty sử dụng chung một LAN Switch nhưng một số cổng được "config" (thiết lập chế độ) hoạt động hoàn toàn độc lập với nhau. Ví dụ: người dùng ở các cổng (port) 1,3,5,7,9 trong switch thuộc phòng Kế toán thì các máy tính có thể "tìm thấy nhau", các người dùng ở phòng kỹ thuật cũng có thể "tìm thấy nhau" ở các cổng 2,4,6,8,10. Không thể có chuyện một nhân viên kế toán được kết nối vào cổng số 3 lại có khả năng truy cập vào máy tính của phòng kỹ thuật ở cổng số 6 được. Ví dụ minh họa: công ty A có 3 phòng là: Phòng Kỹ Thuật, Phòng Kinh Doanh & Phòng Kế Toán. Công ty muốn tạo lập một mạng máy tính gồm 3 phân mạng (LAN segment) là 3 mạng LAN ảo, do tính chất bảo mật của dữ liệu kinh doanh - kế toán nên 3 phân mạng này sẽ hoạt động độc lập với nhau. Việc phân chia máy tính ở các phòng ban khác nhau thành 3 mạng con khác nhau như vậy nhằm 2 mục đích chính: • Bảo mật thông tin: các máy tính ở phân mạng này sẽ không "thọc mạch" vào dữ liệu nằm trong các máy tính thuộc phân mạng khác được. Kỹ thuật tạo mạng ảo này sẽ làm "bó tay" ngay cả những người "tò mò" và "cao thủ" nhất. Tại sao "cao thủ" lại phải bó tay ? Đó là do việc phân chia các mạng ảo (virtual LAN) được thực hiện bởi phần cứng + phần dẻo (firmware là các chương trình "phần mềm" do các nhà sản xuất thiết bị phát triển nhằm điều khiển trực tiếp các thiết bị phần cứng do họ sản xuất. Một số ví dụ đơn giản về firmware là BIOS trong máy tính, các chương trình điều khiển hoạt động của các điện thoại di động... nói chung: Firmware không hoạt động "ở mức quá thấp" nên không thể gọi là "phần mềm", nó cũng "không đủ cứng" để gọi là "phần cứng") do nhà sản xuất phần cứng của mạng như Hub/Switch cung cấp. Việc can thiệp và thay đổi dữ liệu của các "phần dẻo" (firmware) này thì hầu như không thể. • Tăng cường hiệu quả của mạng về tốc độ: mặc dù trong ví dụ sau tôi sử dụng một Switch Repotec 24-port nhưng do phân làm 3 mạng con (sub group / LAN segment) nên mỗi mạng chỉ có từ 5- 6 máy con. Mà số lượng trạm làm việc (máy con) trong mạng càng ít thì tốc độ truyền của mạng càng cao. • Mạng LAN con của phòng KẾ TOÁN gồm 5 máy tính con (nối vào cổng số: 1,3,5,7,23) và một máy server (nối vào cổng số 24). Đây là một mạng LAN ảo (VLAN) trong mạng chung của công ty. • Mạng LAN con của phòng KINH DOANH gồm 6 máy tính con (nối vào cổng số: 2, 4, 6, 8, 9, 10). Đây cũng là một mạng LAN ảo (VLAN) trong mạng chung của công ty. • Mạng LAN con của phòng KỸ THUẬT gồm 3 máy tính con (nối vào cổng số: 13, 14, 15). Đây cũng là một mạng LAN ảo (VLAN) trong mạng chung của công ty. Và sau đây là màn hình thiết lập cấu hình bằng phần mềm (kèm theo Switch Repotec) Thiết lập nhóm: Đến đây, bạn đã có thể quyết định nên hay không nên dùng mạng riêng ảo?
Hiện nay trường mình cũng đang áp dụng VLAN. Các VLAN định tuyến với nhau qua SWITCH layer3 . Mô hình thì cũng không phức tạp lắm. Các máy trong một phòng được nối với nhau bởi một SWITCH ( lớp Access). Các SWITCH này sẽ được nối đến một SWITCH ở hành lang của mỗi tầng (lớp Distribution). Rồi các SWITCH Distribution sẽ được nối đến SWITCH Layer3 (lớp CORE) ở trung tâm CNTT để dịnh tuyến giữa các VLAN với nhau. Bài viết này tương đối đầy đủ về VLAN. Nếu các bạn liên tưởng với mô hình mạng của trường mình thì sẽ dễ hiểu hơn! Cảm ơn chủ topic!
Đúng vậy trường mình xây dựng VLAN cho mỗi phòng học để chia thành nhiều broadcast domain đảm bảo băng thông cho hệ thống mạng, nhưng mình chỉ hơi thắc mắc quy luật đặt địa chỉ IP ở mỗi phòng thôi, muốn biết để vào phòng tự đặt địa chỉ IP cho đúng. Có ai biết quy luật này không?
Anh sun hiểu sai ý e òi, ý e là muốn biết quy luật cụ thể ở các phòng trường mình luôn để vào máy nào đó thấy IP bị thay đổi thì có thể sửa lại cho với đúng địa chỉ IP của phòng đó (mục đích để vào mạng)
Theo em thì mỗi phòng, các thầy trên ITCenter đánh địa chỉ có quy luật để dễ nhớ à Thế theo em dựa vào đâu để chia mạng con, cụ thể là đánh IP cho một phòng nào đó... Rồi nếu em lấy IP của một máy bên phòng A đặt vào một máy của phòng B thì có truy cập ra ngoài mạng được không?? Suy nghĩ các câu hỏi đó có lẽ em sẽ hiểu vấn đề. (có liên quan đến Inter VLAN routing)
Thực tế thì chỉ ping tới được IP của Vlan ah.Còn ping qua địa chỉ máy của phòng khác thì không được.Hình như trường mình không có Inter Vlan routing đâu bác Sun ah.
