Vlan (Virtual LAN) là cách tạo ra nhiều bộ chuyển mạch ảo bên trong một bộ chuyển mạch vật lý. Vì vậy, ví dụ các cổng được định cấu hình để sử dụng Vlan 10 hoạt động như thể chúng được kết nối với cùng một công tắc. Các cổng trong Vlan 20 không thể nói chuyện trực tiếp với các cổng trong Vlan 10. Chúng phải được định tuyến giữa hai (hoặc có một liên kết bắc cầu giữa hai Vlan).
Có rất nhiều lý do để thực hiện Vlan. Thông thường, ít nhất trong số những lý do này là kích thước của mạng. Tôi sẽ liệt kê một vài lý do và sau đó phá vỡ từng lý do.
- Bảo vệ
- Liên kết sử dụng
- Tách dịch vụ
- Cách ly dịch vụ
- Kích thước mạng con
Bảo mật:
Bảo mật không đạt được bằng cách tạo Vlan; tuy nhiên, cách bạn kết nối Vlan đó với các mạng con khác có thể cho phép bạn lọc / chặn truy cập vào mạng con đó. Chẳng hạn, nếu bạn có một tòa nhà văn phòng có 50 máy tính và 5 máy chủ, bạn có thể tạo Vlan cho máy chủ và Vlan cho máy tính. Để máy tính liên lạc với máy chủ, bạn có thể sử dụng tường lửa để định tuyến và lọc lưu lượng đó. Điều này sau đó sẽ cho phép bạn áp dụng IPS / IDS, ACL, Etc. đến kết nối giữa máy chủ và máy tính.
Liên kết sử dụng:
(Chỉnh sửa) Tôi không thể tin rằng tôi đã bỏ nó lần đầu tiên. Tôi đoán là rắm não. Sử dụng liên kết là một lý do lớn khác để sử dụng Vlan. Cây kéo dài theo chức năng xây dựng một đường dẫn duy nhất thông qua mạng lớp 2 của bạn để ngăn chặn các vòng lặp (Oh, my!). Nếu bạn có nhiều liên kết dự phòng cho các thiết bị tổng hợp của mình thì một số liên kết này sẽ không được sử dụng. Để giải quyết vấn đề này, bạn có thể xây dựng nhiều cấu trúc liên kết STP với các Vlan khác nhau. Điều này được thực hiện với PVST, RPVST hoặc MST dựa trên tiêu chuẩn của Cisco. Điều này cho phép bạn có nhiều loại hình STP mà bạn có thể chơi để sử dụng các liên kết chưa sử dụng trước đây của mình. Ví dụ: nếu tôi có 50 máy tính để bàn, tôi có thể đặt 25 trong số chúng vào Vlan 10 và 25 trong số chúng trong Vlan 20. Sau đó, tôi có thể để Vlan 10 chiếm phần "bên trái" của mạng và 25 còn lại trong Vlan 20 sẽ lấy "bên phải" của mạng.
Tách dịch vụ:
Điều này là khá thẳng về phía trước. Nếu bạn có camera an ninh IP, Điện thoại IP và Máy tính để bàn tất cả kết nối vào cùng một bộ chuyển mạch, có thể dễ dàng tách các dịch vụ này ra khỏi mạng con riêng của chúng. Điều này cũng sẽ cho phép bạn áp dụng các dấu QOS cho các dịch vụ này dựa trên Vlan thay vì một số dịch vụ lớp cao hơn (Ví dụ: NBAR). Bạn cũng có thể áp dụng ACL trên thiết bị thực hiện định tuyến L3 để ngăn liên lạc giữa các Vlan có thể không mong muốn. Chẳng hạn, tôi có thể ngăn máy tính để bàn truy cập trực tiếp vào điện thoại / camera an ninh.
Cách ly dịch vụ:
Nếu bạn có một cặp công tắc TOR trong một giá đỡ có một vài máy chủ VMWare và SAN, bạn có thể tạo Vlan iSCSI vẫn chưa được mở. Điều này sẽ cho phép bạn có một mạng iSCSI hoàn toàn biệt lập để không có thiết bị nào khác có thể cố gắng truy cập SAN hoặc làm gián đoạn liên lạc giữa các máy chủ và SAN. Đây chỉ đơn giản là một ví dụ về cách ly dịch vụ.
Kích thước mạng con:
Như đã nêu trước đây nếu một trang web trở nên quá lớn, bạn có thể chia trang web đó thành các Vlan khác nhau, điều này sẽ làm giảm số lượng máy chủ cần xử lý mỗi lần phát.
Chắc chắn có nhiều cách Vlan hữu ích hơn (tôi có thể nghĩ ra một số cách mà tôi sử dụng cụ thể như Nhà cung cấp dịch vụ Internet), nhưng tôi cảm thấy đây là những cách phổ biến nhất và sẽ cho bạn ý tưởng hay về cách chúng tôi sử dụng chúng. Ngoài ra còn có các Vlan tư nhân có các trường hợp sử dụng cụ thể và đáng được đề cập ở đây.