VLAN - Virtual Local Area Network
Mạng VLAN là gì?
VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng
LAN ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng
và được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…
của công ty
Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng
LAN. Để thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau :
Giả sử một công ty có 3 bộ phận là: Engineering, Marketing, Accounting,
mỗi bộ phận trên lại trải ra trên 3 tầng. Để kết nối các máy tính trong một bộ
phận với nhau thì ta có thể lắp cho mỗi tầng một switch. Điều đó có nghĩa là
mỗi tầng phải dùng 3 switch cho 3 bộ phận, nên để kết nối 3 tầng trong công ty
cần phải dùng tới 9 switch. Rõ ràng cách làm trên là rất tốn kém mà lại không
thể tận dụng được hết số cổng (port) vốn có của một switch. Chính vì lẽ đó, giải
pháp VLAN ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết
kiệm được tài nguyên.
Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch,
và switch này được chia VLAN. Các máy tính ở bộ phận kỹ sư (Engineering)
thì sẽ được gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được
gán vào các VLAN tương ứng là Marketing và kế toán (Accounting). Cách làm
Giáo trình mạng 1
VLAN - Virtual Local Area Network
trên giúp ta có thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng
được hết số cổng (port) sẵn có của switch.
Phân loại VLAN
• Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến. Mỗi
cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN
1), do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN
nào đó.
• MAC address based VLAN: Cách cấu hình này ít được sử dụng do có
nhiều bất tiện trong việc quản lý. Mỗi địa chỉ MAC được đánh dấu với

một VLAN xác định.
• Protocol – based VLAN: Cách cấu hình này gần giống như MAC Address
based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế cho địa chỉ
MAC. Cách cấu hình không còn thông dụng nhờ sử dụng giao thức
DHCP.
Lợi ích của VLAN
• Tiết kiệm băng thông của hệ thống mạng:
VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là
một vùng quảng bá (broadcast domain). Khi có gói tin quảng bá
(broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó
việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng.
• Tăng khả năng bảo mật:
Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ
khi ta sử dụng router nối giữa các VLAN). Như trong ví dụ trên, các máy
tính trong VLAN kế toán (Accounting) chỉ có thể liên lạc được với nhau.
Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ
sư (Engineering).
Giáo trình mạng 2
VLAN - Virtual Local Area Network
• Dễ dàng thêm hay bớt máy tính vào VLAN:
Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng
cho máy đó vào VLAN mong muốn.
• Giúp mạng có tính linh động cao:
VLAN có thể dễ dàng di chuyển các thiết bị. Giả sử trong ví dụ trên, sau
một thời gian sử dụng công ty quyết định để mỗi bộ phận ở một tầng
riêng biệt. Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt
chúng vào các VLAN theo yêu cầu.
VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình tĩnh, người
quản trị mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán
cho nó vào một VLAN nào đó. Trong cấu hình động mỗi cổng của switch

có thể tự cấu hình VLAN cho mình dựa vào địa chỉ MAC của thiết bị
được kết nối vào.
Kiến thức cơ bản về Virtual LANs
Có nhiều kiểu VLAN khác nhau : VLAN 1 / Default VLAN / User
VLAN / Native VLAN / Management VLAN. Mặc định, tất cả các
giao diện Ethernet của Cisco switch nằm trong VLAN 1. Chính vì
thế, việc phân biệt các kiểu VLAN trở lên khó khăn hơn. Bài viết này
sẽ mô tả các kiểu VLAN khác nhau.
• VLAN 1
- Mặc định, các thiết bị lớp 2 sẽ sử dụng một VLAN mặc định để đưa tất
cả các cổng của thiết bị đó vào. Thêm vào nữa là có rất nhiều giao thức
lớp 2 như CDP, PAgP, và VTP cần phải được gửi tới một VLAN xác
định trên các đường trunk. Chính vì các mục đích đó mà VLAN mặc định
được chọn là VLAN 1.
Giáo trình mạng 3
VLAN - Virtual Local Area Network
- CDP, PagP, VTP, và DTP luôn luôn được truyền qua VLAN 1 và mặc
định này không thể thay đổi được. Các khuyến cáo của Cisco chỉ ra rằng
VLAN 1 chỉ nên dành cho các giao thức kể trên.
• Default VLAN
- VLAN 1 còn được gọi là default VLAN. Chính vì vậy, mặc định, native
VLAN, management VLAN và user VLAN sẽ là thành viên của VLAN1.
- Tất cả các giao diện Ethernet trên switch Catalyst mặc định thuộc
VLAN 1. Các thiết bị gắn với các giao diện đó sẽ là thành viên của
VLAN 1, trừ khi các giao diện đó được cấu hình sang các VLAN khác.
• User VLANs
- Hiểu đơn giản User VLAN là một VLAN được tạo ra nhằm tạo ra một
nhóm người sử dụng mà không phụ thuộc vào vị trí địa lý hay logic và
tách biệt với phần còn lại của mạng ban đầu. Câu lệnh switchport access
vlan được dùng để chỉ định các giao diện vào các VLAN khác nhau.

• Native VLAN
- Một chủ đề hay gây nhầm lẫn là Native VLAN. Native VLAN là một
VLAN có các cổng được cấu hình trunk. Khi một cổng của switch được
cấu hình trunk, trong phần tag của frame đi qua cổng đó sẽ được thêm
một số hiệu VLAN thích hợp. Tất cả các frames thuộc các VLAN khi đi
qua đường trunk sẽ được gắn thêm các tag của giao thức 802.1q và ISL,
ngoại trừ các frame của VLAN 1. Như vậy, theo mặc định các frames của
VLAN 1 khi đi qua đường trunk sẽ không được gắn tag.
Giáo trình mạng 4
VLAN - Virtual Local Area Network
•
- Khả năng này cho phép các cổng hiểu 802.1Q giao tiếp được với
các cổng cũ không hiểu 802.1Q bằng cách gửi và nhận trực tiếp các luồng
dữ liệu không được gắn tag. Tuy nhiên, trong tất cả các trường hợp khác,
điều này lại gây bất lợi, bởi vì các gói tin liên quan đến native VLAN sẽ
bị mất tag.
- Native VLAN được chuyển thành VLAN khác bằng câu lệnh :
+ Switch(config-if)#switchport trunk native vlan vlan-id
- Chú ý : native VLAN không nên sử dụng như là user VLAN hay
management VLAN.
• Management VLAN
- Hiện nay, đa số các thiết bị như router, switch có thể truy cập từ
xa bằng cách telnet đến địa chỉ IP của thiết bị. Đối với các thiết bị mà
cho phép truy cập từ xa thì chúng ta nên đặt vào trong một VLAN, được
gọi là Management VLAN. VLAN này độc lập với các VLAN khác như
user VLAN, native VLAN. Do đó khi mạng có vấn đề như : hội tụ với
STP, broadcast storms, thì một Management VLAN cho phép nhà quản
trị vẫn có thể truy cập được vào các thiết bị và giải quyết các vấn đề đó.
Giáo trình mạng 5
VLAN - Virtual Local Area Network

- Một yếu tố khác để tạo ra một Management VLAN độc lập với
user VLAN là việc tách các thiết bị đáng tin cậy với các thiết bị không tin
cậy. Do đó làm giảm đi khả năng các user khác đạt được quyền truy cập
vào các thiết bị đó.
• Configuring the router
- Khi một giao diện của router được cấu hình ở mode trunk link,
thì các frame nhận được từ native VLAN trên giao diện đó sẽ không được
gắn tag. Và đối với các frame từ các VLAN khác sẽ có tag là ISL hoặc
802.1Q.
•
- Để cấu hình một giao diện của router ở mode trunk link thì ta
phải sử dụng subinterface. Mỗi một subinterface sẽ được cấu hình ứng
với giao thức trunking trên mỗi switch là ISL hay 802.1Q. Chúng ta dùng
câu lệnh sau :
encapsulation [ dot1q | isl ] vlan.
- Khi subinterface muốn nhận cả các frame của native VLAN thì
phải được cấu hình thêm :
Giáo trình mạng 6
VLAN - Virtual Local Area Network
encapsulation [ dot1q | isl ] vlan. native
- Chú ý : trong các phiên bản IOS trước 12.1(3)T, để cấu hình
native VLAN thì phải cấu hình ở giao diện vật lý
Hướng dẫn cấu hình VLAN
Giới thiệu về tính năng Vlan của switch PLANET
Như chúng ta đã biết về mặt lý thuyết VLAN sẽ chia các cổng trên
Switch thành các Subnet riêng biệt và các Subnet này muốn truy cập lẫn
nhau thì phải thông qua thiết bị định tuyến như Router, Switch layer 3
(Switch tầng 3). Nếu không có thiết bị định tuyến thì các subnet này sẽ chỉ
truy cập được trong VLAN của nó và không thể truy cập VLAN khác và
ngược lại. Trên thực tế đối với switch của PLANET nếu chia VLAN mà

không dùng router hoặc switch tầng 3 mà vẫn muốn truy cập Internet hoặc
truy cập hệ thống máy chủ thì ta có thể chia VLAN theo cơ chế chồng cổng.
Các dòng sản phẩm Switch có tính năng VLAN của PLANET nói chung
thường được chia theo 2 chuẩn VLAN là Port Based - VLAN và 802.1Q, vì
vậy khi cấu hình có thể lựa chọn theo 2 chuẩn này. Mỗi dòng sản phẩm
thường có giao diện cấu hình khác nhau, cũng có Switch để mặc định VLAN
theo chuẩn Port Based - VLAN. Thông thường chúng ta dùng cổng Console
để cấu hình các Switch này.

Các dòng sản phẩm switch PLANET có tính năng VLAN, Port
Mirroring, Port Trunk, QoS cấu hình theo console và web
Cấu hình
Tính năng
Console Web
- Dòng switch non – - Dòng switch
Giáo trình mạng 7
VLAN - Virtual Local Area Network
VLAN
management :FNSW-1602S
- Dòng switch management :
WSW-2401, WGSD-1020,
WGSW-2402A, WGSW-2403,
SGSW-2620, WGSW-004,
WGSW-404, WGSW-14020,
WGSW-16000, WGSW-
24000, WGS3-2620, WGS3-
404, VC-1602
- Dòng switch smart/gigabit :
FGSW-1602RS, FGSW-
2402RS, FGSW-2402VS,

FGSW-2602VS, GSD-500S,
GSD-800S, GSW-1601S,
GSW-2401S, GSW-1402S,
management :
WSW-2401, WGSD-
1020, WGSW-
2402A, WGSW-
2403, SGSW-2620,
WGSW-004,
WGSW-404,
WGSW-14020,
WGSW-16000,
WGSW-24000,
WGS3-2620, WGS3-
404, VC-1602
- Dòng switch
smart/gigabit :
FGSW-2402VS,
FGSW-2602VS,
FGSW-4840S, GSW-
1601S, GSW-2401S,
GSW-1402S
Port Trunk
- Dòng switch non –
management :FNSW-1602S
- Dòng switch management
:
WSW-2401, WGSD-1020,
WGSW-2402A, WGSW-2403,
SGSW-2620, WGSW-004,

WGSW-404, WGSW-14020,
- Dòng switch
management :
WSW-2401, WGSD-
1020, WGSW-
2402A, WGSW-
2403, SGSW-2620,
WGSW-004,
WGSW-404,
Giáo trình mạng 8
VLAN - Virtual Local Area Network
WGSW-16000, WGSW-
24000, WGS3-2620, WGS3-
404, VC-1602
- Dòng switch smart/gigabit
:
FGSW-1602RS, FGSW-
2402RS, FGSW-2402VS,
FGSW-2602VS, GSD-500S,
GSD-800S, GSW-1601S,
GSW-2401S, GSW-1402S,
WGSW-14020,
WGSW-16000,
WGSW-24000,
WGS3-2620, WGS3-
404, VC-1602
- Dòng switch
smart/gigabit :
FGSW-2402VS,
FGSW-2602VS,

FGSW-4840S, GSW-
1601S, GSW-2401S,
GSW-1402S,
Port Mirroring
- Dòng switch
management :
WSW-2401, WGSD-1020,
WGSW-2402A, WGSW-2403,
SGSW-2620, WGSW-004,
WGSW-404, WGSW-14020,
WGSW-16000, WGSW-
24000, WGS3-2620, WGS3-
404, VC-1602
- Dòng switch
smart/gigbit :
FGSW-1602RS, FGSW-
2402RS, FGSW-2402VS,
FGSW-2602VS, GSD-500S,
GSD-800S, GSW-1601S,
- Dòng switch
management :
WSW-2401, WGSD-
1020, WGSW-
2402A, WGSW-
2403, SGSW-2620,
WGSW-004,
WGSW-404,
WGSW-14020,
WGSW-16000,
WGSW-24000,

WGS3-2620, WGS3-
404, VC-1602
- Dòng switch
smart/gigabit :
Giáo trình mạng 9
VLAN - Virtual Local Area Network
GSW-2401S, GSW-1402S
FGSW-2402VS,
FGSW-2602VS,
FGSW-4840S, GSW-
1601S, GSW-2401S,
GSW-1402S
QoS
- Dòng switch management
:
WSW-2401, WGSD-1020,
WGSW-2402A, WGSW-2403,
SGSW-2620, WGSW-004,
WGSW-404, WGSW-14020,
WGSW-16000, WGSW-
24000, WGS3-2620, WGS3-
404
- Dòng switch smart/gigabit
:
FGSW-2402RS
- Dòng switch
management :
WSW-2401, WGSD-
1020, WGSW-
2402A, WGSW-

2403, SGSW-2620,
WGSW-004,
WGSW-404,
WGSW-14020,
WGSW-16000,
WGSW-24000,
WGS3-2620, WGS3-
404
Bảng liệt kê các switch có tính năng VLAN, Port Trunk, Port Mirror, QoS cấu
hình qua giao diện console và web
Chú ý : Thông thường các switch có tính năng Vlan mà cấu hình được qua giao
diện web thì cũng cấu hình được qua console
Hướng dẫn cấu hình theo console
Ở đây chúng tôi hướng dẫn cấu hình VLAN trên Switch FNSW 1602S
Giáo trình mạng 10
VLAN - Virtual Local Area Network
Hiện trạng hệ thống và mong muốn
Công ty bạn có 1 hệ thống mạng gồm nhiều phòng ban, mỗi phòng ban có nhu
cầu về việc bảo vệ dữ liệu riêng chẳng hạn như bộ phận Kế Toán hàng ngày làm
việc với các số liệu liên quan đến tài chính vì vậy bộ phận này mong muốn các
bộ phận khác không được truy cập vào các máy thuộc bộ phận Kế Toán. Mặt
khác bộ phận này có nhu cầu dùng chung phần mềm trên máy chủ với các
phòng ban khác cũng như có nhu cấu truy cập Internet.
Giải pháp Chia VLAN
Giả sử trên một switch muốn chia VLAN 1 tên là Ketoan gồm các cổng 1,2,3,4
và VLAN2 tên Common gồm các cổng 5,6,7,8. Hai VLAN này sẽ không truy
cập được nhau nhưng 2 VLAN này để muốn truy cập Internet hoặc truy cập hệ
thống máy chủ ở 2 cổng 15 và 16 vì vậy 2 VLAN này sẽ thêm các cổng 15 và
16.
VLAN1 gồm các cổng 1,2,3,4,15,16

VLAN2 gồm các cổng 5,6,7,8,15,16

Giáo trình mạng 11