Tải bản đầy đủ (.docx) (94 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Đồ án tốt nghiệp Quản Trị Mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.55 MB, 94 trang )

LỜI CẢM ƠN
Trong suốt quá trình học tập và hoàn thành đồ án này, chúng tôi đã nhận được sự hướng
dẫn, giúp đỡ quý báu của các thầy cô giáo bộ môn, ban giám hiệu, gia đình và bạn bè. Với
lòng kính trọng và biết ơn sâu sắc chúng tôi xin được bày tỏ lới cảm ơn chân thành tới:
Ban giám hiệu, Phòng đào tạo trường Cao Đẳng Nghề CNTT iSPACE đã tạo mọi điều kiện
thuận lợi giúp đỡ chúng tôi trong quá trình học tập và hoàn thành đồ án này.
Thầy Nguyễn Phi Thái, người thầy kính mến đã hết lòng giúp đỡ, dạy bảo, động viên và
tạo mọi điều kiện thuận lợi cho chúng tôi trong suốt quá trình học tập và hoàn thành luận
văn tốt nghiệp.
Quý thầy cô giáo bộ môn Khoa mạng truyền thông cùng với các thầy cô trong hội đồng
chấm luận văn đã cho chúng tôi những đóng góp quý báu để hoàn chỉnh đồ án này.
Mặc dù chúng tôi đã có nhiều cố gắng để hoàn thiện bằng tất cả sự nhiệt tình và năng lực
của mình, tuy nhiên không thể tránh khỏi những thiếu sót, rất mong nhận được những đóng
góp quí báu của quí thầy cô và các bạn.
Một lần nữa chúng tôi xin chân thành cảm ơn, chúc tất cả mọi người sức khỏe và thành
đạt.
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
LỜI GIỚI THIỆU
Cùng với tốc độ phát triển và ứng dụng rộng khắp của mạng lưới Internet hiện tại, mô
hình hạ tầng mạng thông minh, ổn định, tính tương thích cao và hỗ trợ người dùng tối đa là
nhu cầu cấp thiết cho tất cả các doanh nghiệp trong nước cũng như nước ngoài. Mô hình hệ
thống mạng đáp ứng cao cho người dùng có thể truy cập làm việc ở bất cứ đâu, bất cứ thời
điểm nào có nhiều lợi điểm mà các doanh nghiệp đang quan tâm như chi phí vừa phải, tạo
mạng lưới làm việc ổn định trong doanh nghiệp, giao dịch nhanh, thị trường rộng lớn… Chắc
chắn sẽ là xu hướng phát triển thương mại trong tương lai mà các doanh nghiệp hướng tới.
Đồ án này, chúng tôi tìm hiểu chi tiết về các ứng dụng và các dịch vụ triển khai hạ tầng
mạng doanh nghiệp. Từ đó đưa ra các giải pháp cụ thể cho từng doanh nghiệp trong việc xây
dựng hạ tầng mạng. Và chúng tôi đã xây dựng hạ tầng mạng cho doanh nghiệp với giải pháp


dự phòng và tính sẵn sàng cao dựa trên công nghệ High Availability (HA) với giao thức
Gateway Load Balancing Protocol (GLBP) kết hợp công nghệ Multiprotocol Label Switching -
Virtual Private Network (MPLS-VPN).
Đồ án Tốt Nghiệp Trang 2
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
NHẬN XÉT CỦA DOANH NGHIỆP
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………

………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
………………………………………………………………………………………………
Đồ án Tốt Nghiệp Trang 3
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
MỤC LỤC HÌNH
Đồ án Tốt Nghiệp Trang 4
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
MỤC LỤC BẢNG
Đồ án Tốt Nghiệp Trang 5
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
THUẬT NGỮ VIẾT TẮT
A
ACL Access Control List
AS Autonomous System
AD Administrative Distance

ATM Asynchronous Transfer Mode
ARP Address Resolution Protocol
ADFS Active Directory Federation Services
ADDS Active Directory Domain Services
B
BID Bridge ID
BPDU Bridge Protocol Data Unit
C
CPU Central Processor Unit
CA Certificate Authority
CIDR Classless Inter Domain Routing
D
DES Data Encryption Standard
DNS Domain Name System
DC Domain Controller
E
EIGRP Enhanced Interior Gateway Routing Protocol
ESP Encapsulating Security Payload
F
FTP File Transfer Protocol
G
GLBP Gateway Load Balancing Protocol
H
HSRP Hot Standby Redundancy Protocol
I
IP Internet Protocol
IGRP Interior Gateway Routing Protocol
ID Identification
IPSec IP Security
IIS Internet Information Services

ISP Internet Service Provider
ISDN Integrated Services Digital Network
ICMP Internet Control Message Protocol
L
LAN Local Area Network
Đồ án Tốt Nghiệp Trang 6
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
LACP Link Aggregation Control Protocol
L2TP Layer 2 Tunneling Protocol
L2F Layer 2 Forwarding
M
MAC Media Access Control
MTLS Mutual Transport Layer Security
MRM Message Record Management
N
NVRAM Non Volatile Random Access Memory
NAS Network Attached Storage
NTLM NT LAN Manager
NAP Network Access Protection
O
OSPF Open Shortest Path First
OSI Open Systems Interconnection
OU Organizational Unit
OABs Offline Address Books
OWA Outlook Web Access
P
PagP Port Aggregation Protocol

PGP Pretty Good Privacy
PPTP Point-to-Point Tunneling Protocol
PPP Point-to-Point Protocol
PSTN Public Switched Telephone Network
Q
QoS Quality of Service
R
RIP Routing Information Protocol
S
STP Spanning Tree Protocol
SIP Session Initiation Protocol
STP Shield Twisted Pair
T
TCP Transmission Control Protocol
U
URL Uniform Resource Locator
UM Unified Messaging
UDP

User Datagram Protocol
UTP Unshield Twisted Pair
V
Đồ án Tốt Nghiệp Trang 7
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
VLAN Virtual Local Area Network
VLSM Variable Length Subnet Masking
VTP VLAN Trunking Protocol

VPN Virtual Private Network
VRRP Virtual Router Redundancy Protocol
W
WWW World Wide Web
WAN Wide Area Network
Bảng - Thuật ngữ viết tắt
Đồ án Tốt Nghiệp Trang 8
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
MỤC LỤC
Đồ án Tốt Nghiệp Trang 9
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
ĐỒ ÁN TỐT NGHIỆP
Tên đồ án:
XÂY DỰNG HẠ TẦNG MẠNG VÀ TRIỂN KHAI DỊCH VỤ CHO
DOANH NGHIỆP
I. GIỚI THIỆU TỔNG QUAN VỀ ĐỒ ÁN
1. Yêu cầu và trọng tâm của đồ án
Xây dựng hạ tầng mạng cho công ty Hoàng Liêm đảm bảo tính sẵn sàng, dự phòng cao và
cân bằng tải cho hệ thống.
Yêu cầu triển khai cho công ty Hoàng Liêm gồm:
 Trụ sở chính đặt tại Sài Gòn với qui mô 300 nhân viên, gồm 5 phòng ban:
• Phòng nhân sự có 50 nhân viên.
• Phòng kế toán có 50 nhân viên.
• Phòng kinh doanh có 120 nhân viên.

• Phòng kỹ thuật có 20 nhân viên.
• Phòng tiếp thị có 60 nhân viên.
 Chi nhánh đặt tại Bình Dương với qui mô 100 nhân viên, gồm có 5 phòng ban:
• Phòng nhân sự có 20 nhân viên.
• Phòng kế toán có 20 nhân viên.
• Phòng kinh doanh có 30 nhân viên.
• Phòng kỹ thuật có 10 nhân viên.
• Phòng tiếp thị có 20 nhân viên.
Để đáp ứng những nhu cầu của công ty Hoàng Liêm, ta cấu hình, triển khai một số dịch vụ:
• Triển khai hệ thống định tuyến bằng giao thức RIPv2.
• Triển khai VLAN chia phòng ban.
• Triển khai GLBP tăng tính sẵn sàng và cân bằng tải cho hạ tầng mạng.
• Triển khai hệ thống Primary Domain Controller trên chi nhánh Sài Gòn và Additional
Domain Controller trên chi nhánh Bình Dương.
• Triển khai dịch vụ Web server, DNS server, DHCP server, FTP server nội bộ.
• Triển khai IOS Firewall tăng tính bảo mật cho công ty.
Để đáp ứng những nhu cầu kết nối giữa 2 site Sài Gòn và Bình Dương, ta triển khai dịch vụ
MPLS-VPN.
2. Mô hình tổng quát của doanh nghiệp
Đồ án Tốt Nghiệp Trang 10
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Hình - Mô hình mạng chi nhánh Bình Dương
Đồ án Tốt Nghiệp Trang 11
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999

Hình - Mô hình mạng trụ sở chính Sài Gòn
Đồ án Tốt Nghiệp Trang 12
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Hình - Mô hình kết nối 2 site
II. GIỚI THIỆU CÁC GIAO THỨC ĐỊNH TUYẾN VÀ CÔNG NGHỆ CHUYỂN
MẠCH
1. Routing
• Khái niệm
Định tuyến là quá trình router sử dụng để chuyển tiếp các packet đến mạng đích.
Router đưa ra quyết định dựa trên địa chỉ IP đích của packet. Để có thể đưa ra được
quyết định chính xác, router phải học cách làm sao để đi đến các mạng ở xa. Khi
router sử dụng quá trình định tuyến động, thông tin này sẽ được học từ những router
khác. Khi quá trình định tuyến tĩnh được sử dụng, nhà quản trị mạng sẽ cấu hình
thông tin về những mạng ở xa bằng tay cho router.
• Static routing
- Nhà quản trị cấu hình con đường tĩnh.
- Router sẽ đưa con đường vào trong bảng định tuyến.
- Con đường định tuyến tĩnh sẽ được đưa vào sử dụng.
- Cú pháp:
Router(config)#ip route {destination
network} {subnet mask} {nexthop ip
address | outgoing interface}
<administrative distance>
Administrative distance (AD) là một
tham số tùy chọn, chỉ ra độ tin cậy
của một con đường. Con đường có
giá trị càng thấp thì càng được tin

Đồ án Tốt Nghiệp Trang 13
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
cậy. Giá trị AD mặc định của tuyến
đường tĩnh là 1.
Bảng - Cú pháp tạo static routing
 Default route
- Đường mặc định là đường mà Router sẽ sử dụng trong trừơng hợp router
không tìm thấy đường đi nào phù hợp trong bảng định tuyến để tới đích của
gói dữ liệu.
- Chúng ta thường cấu hình đường mặc định cho đường ra internet của
Router vì Router không cần phải lưu thông tin định tuyến tới từng mạng trên
internet.
- Cú pháp:
Router(config)# ip route 0.0.0.0 0.0.0.0
{nexthop ip address | outgoing interface}
Default route được sử dụng để gửi
các packet đến các mạng đích mà
không có trong bảng định tuyến.
Thường được sử dụng trên các
mạng ở dạng stub network (mạng
chỉ có một con đường để đi ra bên
ngoài).
Router#show running-config
Router#show ip route
Kiểm tra cấu hình.
Bảng - Lệnh tạo và kiểm tra default route
• Dynamic routing

Routing Protocol là ngôn ngữ giao tiếp giữa các router. Một giao thức định tuyến
cho phép các router chia sẻ thông tin về các mạng. Router sử dụng các thông tin này
để xây dựng và duy trì bảng định tuyến của mình.
 Các loại giao thức định tuyến:

Distance Vector:
RIP, IGRP. Hoạt động theo nguyên tắt hàng xóm, nghĩa là mỗi router sẽ gửi
bảng routing-table của chính mình cho tất cả các router được nối trực tiếp với mình.
Các router đó so sánh với bảng routing-table mà mình hiện có và kiểm tra xem route
của mình và route mới nhận được, route nào tốt hơn sẽ được cập nhất. Các routing-
update sẽ được gởi theo định kỳ (30 giây với RIP , 60 giây đối với RIP-novell , 90 giây
đối với IGRP). Do đó, khi có sự thay đổi trong mạng, các router sẽ biết được trạng thái
của các đoạn mạng.
- Ưu điểm:
Đồ án Tốt Nghiệp Trang 14
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Dễ cấu hình, router không phải xử lý nhiều.
- Nhược điểm:
Hệ thống metric quá đơn giản nên có thể xảy ra việc con đường tốt nhất
chưa phải là tốt nhất.
Do phải cập nhật định kỳ các routing-table nên một lượng bandwidth
đáng kể sẽ bị chiếm.
Các router hội tụ chậm sẽ dẫn đến việc sai lệch trong bảng route và làm hệ
thống mạng bị loop.

Link-state:
Linkstate không gởi routing-update, mà chỉ gởi tình trạng state của các cái link

trong linkstate-database của mình đi cho các router khác, để rồi tự mỗi router sẽ chạy
giải thuật shortest path first, tự xây dựng bảng routing-table cho mình. Sau đó khi
mạng đã hội tụ, link-state protocol sẽ không gởi update định kỳ như Distance-vector,
mà chỉ gởi khi nào có một sự thay đổi nhất trong topology mạng.
- Ưu điểm:
Có thể thích nghi được với đa số hệ thống, cho phép người thiết kế có thể
thiết kế mạng linh hoạt, phản ứng nhanh với tình huống xảy ra.
Do không gởi interval-update, nên link state bảo đảm được băng thông cho
các đường mạng.
- Khuyết điểm:
Do router phải xử lý nhiều nên chiếm nhiều bộ nhớ lẫn CPU và làm tăng độ
delay.
Linkstate khá khó cấu hình để chạy tốt, đòi hỏi người làm việc phải có kinh
nghiệm.
Một số giao thức định tuyến:
• Routing Information Protocol.
• Enhanced Interior Gateway Routing Protocol.
• Open Shortest Path First.
 Routing Information Protocol :
 Một số tính chất:
- Giao thức định tuyến Distance Vector.
- Sử dụng hop-count làm metric. Maximum hop-count là 15.
- Administrative distance là 120.
- Hoạt động theo kiểu tin đồn.
- Gởi update định kỳ sau 30 giây. Thông tin gởi đi là toàn bộ bảng định
tuyến.
- RIP v1 và RIP v2.
- RIP v1: classful không gửi subnetmask
- RIPv2: classless hỗ trợ VLSM có kèm theo subnetmask, authentication.
Đồ án Tốt Nghiệp Trang 15

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Router(config)#router rip kích hoạt giao thức định tuyến RIP trên router
Router(config-router)#network
<network address>
khai báo các network cần quảng bá cũng như
kích hoạt các interface được phép gởi và nhận
RIP update
Show ip protocol
kiểm tra hoạt động
Show ip route
Debug ip rip
quan sát việc RIP cập nhật bằng cách gửi và
nhận trên router
No debug ip rip
Tắt chế độ debug
undebug all
Show ip protocol Xem routing protocol timer
Show protocols
Xem các protocols nào được cấu hình trên các
interface
Bảng - Lệnh tạo và kiểm tra RIP
 Interior Gateway Routing Protocol :
 Một số tính chất:
- Giao thức định tuyến Distance Vector.
- Sử dụng kết hợp giữa băng thông và độ trễ làm metric.
- Administrative distance là 100.
- Hoạt động theo kiểu tin đồn.

- Gởi update định kỳ sau 90 giây. Thông tin gởi đi là toàn bộ bảng định
tuyến.
- Classful không gửi subnetmask.
- Là giao thức riêng của Cisco.
Router(config)#router igrp <AS>
Kích hoạt giao thức định tuyến RIP trên
router.
Router(config-router)#network
<network address>
Khai báo các network cần quảng bá
cũng như kích hoạt các interface được
phép gởi và nhận IGRP update
Show ip protocol
Kiểm tra hoạt động
Show ip route
Debug ip igrp events
Xem các cập nhật của IGRP được gửi và
nhận trên router
No debug ip igrp events
Tắt chế độ debug
undebug all
Show ip protocol Xem routing protocol timer
Show protocols Xem các protocols nào được cấu hình
Đồ án Tốt Nghiệp Trang 16
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
trên các interface
Debug ip igrp transactions

Xem các sự IGRP events được xử lý trên
router
Bảng - Lệnh tạo và kiểm tra IGRP
Autonomous System: là một mạng được quản trị chung với các chính sách định
tuyến chung. Giao thức IGRP sử dụng AS để tạo các nhóm router cùng chia sẻ thông
tin tìm đường với nhau.
 Enhanced Interior Gateway Routing Protocol :
 Một số tính chất:
- Giao thức độc quyền của Cisco.
- Giao thức định tuyến classless.
- Giao thức distance-vector.
- Chỉ gởi update khi có sự thay đổi trên mạng.
- Hỗ trợ các giao thức IP, IPX và AppleTalk.
- Hỗ trợ VLSM/CIDR.
- Cho phép thực hiện quá trình summarization tại biên mạng.
- Lựa chọn đường đi tốt nhất thông qua giải thuật DUAL.
- Xây dựng và duy trì các bảng neighbor table, topology table và routing
table.
- Metric được tính dựa trên các yếu tố: bandwidth, delay, load, reliability.
- Cho phép cân bằng tải trên các con đường có giá thành không bằng
nhau.
- Giá trị AD bằng 90.
- Khắc phục được vấn đề discontiguous network gặp phải đối với các giao
thức RIPv1 và IGRP.
- Cấu hình:
Router(config)# router eigrp <AS number
Kích hoạt giao thức định tuyến
EIGRP.
Router(config-router)# network <network
number>

Kích hoạt các interface sẽ gởi
và nhận update, cũng như khai
báo các network cần quảng
bá.
Router(config-router)# no auto-summar
Tắt chức năng auto-summary
tại biên mạng.
show ip route
Kiểm trả hoạt động.
show ip route eigrp
show ip eigrp neighbors
Đồ án Tốt Nghiệp Trang 17
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Bảng - Lệnh tạo và kiểm EiGRP
 Open Shortest Path First :
 Một số tính chất:
- Chuẩn mở.
- Giao thức link-state.
- Chỉ hỗ trợ giao thức IP.
- Gom nhóm các network và router vào trong từng area. Luôn tồn tại area
0 (backbone area). Tất cả các area khác (nếu có) đều phải nối vào area
0.
- Sử dụng giải thuật Dijkstra để xây dựng cây đường đi ngắn nhất đến các
đích.
- Cho phép cân bằng tải trên các con đường bằng có giá thành bằng nhau.
- Hỗ trợ VLSM/CIDR.
- Chỉ gởi update khi có sự thay đổi trên mạng.

- Khắc phục vấn đề liên quan đến discontiguous network.
- Xây dựng và duy trì các neighbor database, topology database.
- Giá trị AD bằng 110.
- Cấu hình:
Router(config)#router ospf <process ID> Kích hoạt giao thức định tuyến OSPF.
Router(config-router)#network <network
number> <wildcard mask> area <area
ID>
Cấu hình OSPF area.
Router#show ip route
Kiểm tra hoạt động.
Router#show ip ospf
Router#show ip ospf database
Router#show ip ospf interface
Router#show ip ospf neighbor
Bảng - Lệnh tạo và kiểm tra OSPF
2. Virtual Local Area Network
• Khái niệm
VLAN là mạng LAN ảo. VLAN là một miền quảng bá được tạo bởi Switch không
phụ thuộc vào vị trí vật lý. Nhưng thay đổi cấu hình của VLAN điều được thực hiện trên
phần mền không cần thay đổi cáp và các thiết bị vật lý.
VLAN được nhóm theo một nhóm logic về chức năng và gói dữ liệu chỉ được
chuyển mạch trong cùng một VLAN đảm bảo tính an toàn bảo mật và dễ quản lý hơn.
Đồ án Tốt Nghiệp Trang 18
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Hình - VLAN
• Nguyên tắc hoạt động

Mỗi cổng trên switch có thể gán cho một VLAN khác nhau. Các cổng nằm trong
cùng một VLAN sẽ chia sẻ gói quảng bá với nhau. Các cổng không nằm trong cùng
VLAN sẽ không chia sẻ gói quảng bá với nhau. Nhờ đó mạng LAN hoạt động hiệu quả
hơn.
Thành viên của VLAN được xác định theo cổng của switch, mặc định tất cả các
cổng trên switch đều thuộc VLAN mặc định VLAN 1.
Xác định thành viên VLAN theo cổng tức là cổng đã được gán vào VLAN nào thì
thiết bị kết nối vào cổng đó thuộc VLAN đó, không phục thuộc vào thiết bị kết nối là
thiết bị gì, địa chỉ bao nhiêu. Với cách chia VLAN theo cổng như vậy, tất cả các người
dùng kết nối vào cùng một cổng sẽ nằm trong cùng một VLAN. Cách chia VLAN này
giúp việc quản lý đơn giản hơn vì không cần tìm trong cơ sở dữ liệu phức tạp để xác
định thành viên trong mỗi VLAN.
Có thể chia VLAN theo địa chỉ MAC, logic hoặc theo loại giao thức. Không cần
quản lý nhiều ở các tủ nối dây nữa vì thiết bị kết nối vào mạng thuộc VLAN nào là tùy
theo địa chỉ của thiết bị đó được gán vào VLAN đó. Có khả năng thông báo cho quản trị
mạng khi có một người dùng đầu cuối lạ, không có trong cơ sở dữ liệu kết nối vào
mạng.
Đồ án Tốt Nghiệp Trang 19
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
• Ưu điểm của VLAN
Cho phép người quản trị mạng tổ chức mạng theo logic chứ không theo vật lý
nữa. Nhờ đó công việc quản lý tập trung và dể dàng hơn.
Có tính linh động cao dể dàng cho việc thay đổi các thiết bị trong LAN.
Kiểm soát giao thông mạng dễ dàng.
Gia tăng bảo mật, các VLAN khác nhau không truy cập được vào nhau.
Tiết kiệm băng thông của mạng, VLAN có thể chia nhỏ LAN thành các đoạn. Khi
một gói tin quảng bá, nó sẽ được truyền đi chỉ trong một VLAN duy nhất, không không

truyền đi ở các VLAN khác nên giảm lưu lượng quảng bá, tiết kiệm băng thông đường
truyền.
• Các loại VLAN
VLAN dựa trên cổng- port based VLAN: mỗi cổng ethernet hoặc fast
ethernet được gắn với một VLAN xác định. Do đó mỗi máy tính hay thiết bị host kết nối
một cổng của switch đều phụ thuộc vào VLAN đó. Đây là cách cấu hình VLAN đơn giản
và phổ biến nhất.
VLAN theo địa chỉ MAC- MAC address based VLAN: mỗi địa chỉ MAC được
gán tới một VLAN nhất định. Cách cấu hình này rất phức tạp và khó khăn trong việc
quản lý.
VLAN theo giao thức- protocol based VLAN: tương tự với VLAN dựa trên
địa chỉ MAC nhưng sử dụng địa chỉ IP thay cho địa chỉ MAC. Cách cấu hình này không
thông dụng.
Switch(config)#VLAN <number VLAN>
name <VLAN name >
Lệnh này dùng để tạo một VLAN
Switch(config)#no VLAN <number VLAN> Xóa VLAN đã tạo
Bảng - Tạo và xóa VLAN
 Private VLAN:
- Private VLAN cho phép một switch tách biệt các host như thể các host này trên các
VLAN khác nhau trong khi vẫn dùng duy nhất một IP subnet.
- Một private VLAN bao gồm hai loại VLAN chính: primary VLAN và một hoặc nhiều
secondary VLANs.
- Các port trong primary VLAN được gọi là promicuous port.
- Secondary VLAN có thể bao gồm isolated hoặc community VLAN.
- Các host thuộc isolated VLAN chỉ truyền thông được với host đang thuộc primary
VLAN.
- Các host thuộc community VLAN chỉ truyền thông được với các host nằm trong
cùng community VLANs và các host ở primary VLAN.
- Private VLAN chỉ triển khai được trên các switch 3560 hoặc trở lên chứ không triển

khai được trên switch 2960.
Đồ án Tốt Nghiệp Trang 20
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Sw1(config)# vtp transparent
Set switch ở mode VTP
transparent.
Sw1(config)# VLAN 100 Tạo VLAN 100
Sw1(config-VLAN)# private-VLAN isolated
Định nghĩa VLAN 100 là isolated
VLAN
Sw1(config)# VLAN 101 Tạo VLAN 101
Sw1(config-VLAN)# private-VLAN primary
Định nghĩa VLAN 101 là primary
VLAN
Sw1(config-VLAN)# private-VLAN
association add 100
Liên kết primary VLAN với isolate
VLAN
Sw1(config)# interface FastEthernet0/1 Truy cập vào cổng f0/1
Sw1(config-if)#switch mode private VLAN
host
Chọn cổng f0/1 là host port
Sw1(config-if)#switchport private-VLAN
host-association 101 100
Gắn host port vào isolated VLAN
100 có VLAN 101 là primary VLAN
Sw1# show interface fastethernet0/1

switchport
Để kiểm tra thông tin host port
vừa tạo
Bảng - Lệnh cấu hình và kiểm tra private VLAN
 VLAN Access-list:
- VLAN Access-List là một trong những phương pháp nâng cao tính bảo mật trong
mạng. Cho phép kiểm soát lưu lượng chạy trên Switch. Khi cấu hình VLAN Access-
list, người dùng có thể phân loại lưu lượng: IP, TCP, WWW… Tuỳ vào chính sách
của nhà quản trị mạng có thể lọc bỏ hoặc cho các loại thông tin đó lưu thông trong
mạng. VLAN Access-list có thể áp dụng trong phạm vi VLAN, hoặc giữa các VLAN.
VLAN Access-list có các đặc tính như Router Access-list, có thể loại bỏ, cho qua,
hay tái định hướng các gói tin.
- Khái niệm Access-list không còn bó hẹp trong ý nghĩa dùng để chặn traffic, hay
chặn các IP. Access-list được dùng để lọc , phân loại traffic, địa chỉ IP, sau đó đối
với từng loại traffic hay IP đã phân loại, người dùng có thể có chính sách đối xử
khác nhau.
- Ví dụ: không cho phép range IP 192.168.1.1 - 192 168.1.100 telnet đến
192.168.254.
Switch(config)#IP access-list extended blocktelnet Khới tạo ACL.
Switch(config-ext-nACL)#permit TCP 192.168.1.1
0.0.0.100 host 192.168.1.254

eq telnet
Nội dung của ACL.
Đồ án Tốt Nghiệp Trang 21
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Switch(config)#VLAN access-map blockMap 2

Khởi tạo VLAN access
map.
Switch(config-access-map)#match IP address
blocktelnet
Match ACL vào VLAN
access map.
Switch(config-access-map)#action drop Hành động là cấm.
Bảng - Tạo VLAN Access-list
 Voice VLAN:
- Voice VLAN là VLAN giành cho lưu lượng thoại.
- Voice VLAN cho phép các port trên switch có khả năng truyền lưu lượng Voice IP từ
một IP phone.
Switch(config)#interface fasethernet slot/port-
number
Chọn interface làm voice VLAN.
Switch(config-if)#switchport voice VLAN
voice_VLAN_ id
Add interface vào voice VLAN.
Bảng - Cấu hình voice VLAN
3. VLAN Trunking Protocol
a. Khái niệm
VTP là giao thức hoạt động ở Layer 2 trong mô hình OSI. VTP giúp cho việc cấu
hình VLAN luôn đồng nhất khi thêm, xóa, sửa thông tin về VLAN trong hệ thống mạng.
b. Hoạt động của VTP
Đồ án Tốt Nghiệp Trang 22
Hình - Hoạt động của VTP
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999

VTP flood thông điệp quảng bá- advertisement qua VTP domain 5 phút một lần,
hoặc khi có sự thay đổi xảy ra trong cấu hình VLAN.
Một VTP advertisement bao gồm có ivision- number, tên VLAN, số hiệu VLAN, và
thông tin về các switch có port gắn với mỗi LAN.
Bằng sự cấu hình VTP server và việc truyền bá thông tin thông qua các
vertisement, tất cả các switch đều biết về tên VLAN và số hiệu VLAN của tất cả các
VLAN.
Một trong những thành phần quan trọng của VTP advertisement là tham
số revision- number.
Mỗi lần VTP server điều chỉnh thông tin VLAN, nó tăng revision- number lên 1,
rồi sau đó VTP server mới gửi VTP advertisement đi.
Khi một switch nhận một VTP advertisement với evision- number lớn hơn, nó sẽ
cập nhật cấu hình VLAN.
VTP hoạt động ở 3 chế độ: server, client, transparent.
Switch ở chế độ VTP server có thể tạo, chỉnh sửa và xóa VLAN. VTP server lưu
cấu hình VLAN trong NVRAM của nó. VTP Server gửi thông điệp ra tất cả các port trunk
của nó.
Switch ở chế độ VTP client không tạo, sửa và xóa thông tin VLAN. VTP Client có
chức năng đáp ứng theo mọi sự thay đổi của VLAN từ server và gửi thông điệp ra tất
cả các port trunk của nó. VTP Client không lưu cấu hình trong NVRAM mà chỉ đặt trên
RAM vì nó có thể học cấu hình VLAN từ server. Do đó, chế độ client rất hữu dụng khi
switch không có đủ bộ nhớ để lưu một lượng lớn thông tin VLAN.
Switch ở chế độ transparent sẽ nhận và chuyển tiếp các VTP update do các
switch khác gửi đến mà không quan tâm đến nội dung của các thông điệp này.
Nếu transparent switch nhận được thông tin cập nhật VTP nó cũng không cập nhật vào
cơ sở dữ liệu của nó, đồng thời nếu cấu hình VLAN của nó có gì thay đổi, nó cũng
không gửi thông tin cập nhật cho các switch khác. Trên transparent switch chỉ có một
việc duy nhất là chuyển tiếp thông điệp VTP. Switch hoạt động ở transparent- mode chỉ
có thể tạo ra các VLAN cục bộ. Các VLAN này sẽ không được quảng bá đến các switch
khác.

c. VTP Prunning
Ngầm định switch sẽ gửi broadcast các gói tin mà không có thông tin ra toàn
mạng. điều này làm tăng lưu lượng không cần thiết.
VTP prunning sẽ làm tăng hiệu quả sử dụng băng thông bằng việc làm giám các
lưu lượng không cần thiết như: broadcast, multicast, uicast, unknown, flooded.
Ngầm định VTP prunning bị disable.
Đồ án Tốt Nghiệp Trang 23
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Switch(VLAN)# VTP prunning Enable VTP prunnig
Switch(config)# interface fastethernet 0/1 Chọn interface để thiết lập
Switch(config-if)#switchport trunk
prunning VLAN remove 5-10
Thiết lập interface là VTP prunning
Switch#show interface fastethernet 0/1
switchport
Kiểm tra cấu hình interface 0/1
Bảng - Lệnh cấu hình VTP prunning
3. Spanning Tree
• Giới thiệu
Spanning tree protocol là một giao thức lớp 2 sử dụng một giải thuật để phát
hiện ra vấn đề lặp trong mạng.
STP sẽ tạo ra một sơ đồ cấu trúc dạng cây gồm có lá và nhánh bao phủ toàn
mạng.
STP được định nghĩa trong chuẩn IEEE 802.1D. STP dựa trên một tập các tham
số để hoạt động. Có 3 tham số quan trọng: BrIDge ID (BID), Path Cost, Port ID.
BrIDge ID (BID): được dùng để xác định switch trung tâm của mạng gọi là
rootbrIDge. Được tạo thành từ hai thành phần: brIDge priority (2 bytes) và địa chỉ MAC

(6 bytes).
BrIDge priority được gán bởi người quản trị, ngầm định là 32768.
BID càng thấp càng được ưu tiên.
Path cost là tham số để xác định đường đi đến rootbrIDge.
Path cost là tổng path cost của các links giữa 2 switch.
Path cost được switch sử dụng để xác định đường đi tốt nhất đến switch trrung
tâm. Path cost càng thấp thì đường đó càng tốt.
Port ID cũng được dùng để xác định đường đi đến switch trung tâm. Nó gồm 2
phần:
- Port priority (6 bits): do người quản trị cấu hình, mặc định 128.
- Port number (10 bits) là số định dạng của switch.
Port ID càng thấp thì càng được ưu tiên.
• Hoạt động của Spanning Tree
Đồ án Tốt Nghiệp Trang 24
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE
137C Nguyễn Chí Thanh, P.9, Quận 5, TpHCM
Website: www.ispace.edu.vn Email:
Tel: (848) 6267 8999
Hình - Mô hình hoạt động của STP
 Gồm 3 bước:
• Bầu chọn root switch: Switch có brIDge-ID nhỏ nhất sẽ được bầu chọn.
Thông thường, brIDgeID được hình thành gồm giá trị priority (2 bytes)
và MAC của switch.
• Xác định root port: là cổng trên những non-root switch có kết nối ngắn
nhất về rootswitch.
• Xác định designated port trên từng segment: Khi có nhiều switch kết nối
vào một segment, đây là cổng của switch chịu trách nhiệm đẩy traffic ra
khỏi segment.
 Bầu chọn root switch:
Chỉ một switch có thể là root của một cây spanning tree.

Để tìm ra root, các switch phải bầu chọn.
Từng switch sẽ bắt đầu hoạt động spanning tree của nó bằng cách tạo và gửi các
gói STP BPDU, trong đó thông báo chính nó là root. Nếu một switch nghe một BPDU tốt
hơn (tức là BPDU có brIDgeID nhỏ hơn), switch đó sẽ không khai báo nó là root nữa.
Thay vào đó, switch sẽ bắt đầu gửi ra các BPDU nhận được từ switch ứng cử viên tốt
hơn.
Đồ án Tốt Nghiệp Trang 25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×