• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Chuyên đề về thiết kế xây dựng hạ tầng mạng chuyển mạch (Private Vlan chi tiết)

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Chuyên đề về thiết kế xây dựng hạ tầng mạng chuyển mạch (Private Vlan chi tiết)

    4.2. Private VLAN

    4.2.1. Các đặc điểm của PVLAN
    Thông thường, lưu lượng được truyền đi mà không bị hạn chế trong một VLAN. Các gói tin được gửi đi từ một máy nguồn trong mạng thường chỉ được nghe bởi máy ở đích đến vì đây là bản chất của chuyển mạch lớp 2. Tuy nhiên, nếu một máy gửi broadcast một gói tin cho toàn mạng thì tất cả các máy trên mạng đều nhận được. chúng ta có thể sử dụng VLAN Access List để lọc các gói tin giữa nơi gửi và đích đến nếu cả hai đều nối chung một switch.
    Đôi khi khả năng phân đoạn các traffic trong một VLAN diễn ra tốt đẹp mà không cần phải sử dụng nhiều VLAN hay router. Ví dụ, trong một VLAN chứa các server farm, tất cả các máy chủ có khả năng giao tiếp với các router hay gateway nhưng các máy chủ sẽ không nhận các gói tin được gửi broadcast từ các máy chủ khác. Giả sử các máy chủ thuộc về một doanh nghiệp riêng biệt; bây giờ mỗi máy chủ đều bị tách khỏi các máy chủ khác nhưng vẫn có khả năng kết nối với các client không có trong mạng thông qua gateway.
    Các nhà cung cấp dịch vụ mạng đã áp dụng công nghệ này. Ở đây, các nhà cung cấp có thể sử dụng một VLAN để kết nối với mạng của một số khách hàng. Mỗi khách hàng cần phải sử dụng gateway của nhà cung cấp trên VLAN. Rõ ràng, các trang web của khách hàng không cần phải tương tác với nhau.
    Private Vlan(PVLANs) có thể giải quyết vấn đề này trên thiết bị switch Catalyst. Tóm lại, máy chủ có thể kết nối với một secondary VLAN thông qua giao tiếp với các cổng trên primary VLAN(ví dụ, router), nhưng không phải kết nối với một secondary VLAN khác. Một secondary VLAN được cấu hình như một trong các loại sau đây:
    • Isolated – bất kỳ các port trên switch thuộc isolated VLAN có thể kết nối đến primary VLAN nhưng không thể kết nối với các secondary VLAN khác. Ngoài ra, máy chủ kết nối với các port thuộc isolated VLAN thì không thể giao tiếp với nhau. Trên thực tế, các máy chủ bị cô lập tất cả mọi thứ ngoại trừ primary VLAN.
    • Community-bất kỳ các port trên switch cùng chung một community VLAN thì có thể giao tiếp với nhau và với các primary VLAn nhưng không giao tiếp với bất kỳ secondary VLAN nào khác. Đây là cơ sở, cung cấp giải pháp cho các server farm và workgroup trong một tổ chức, trong khi cô lập giữa các tổ chức.

    Tất cả các secondary VLAN phải thuộc một primary VLAN để có thể thiết lập mội quan hệ một chiều có nghĩa là secondary VLAN có thể giao tiếp với primary VLAN nhưng lại không thể giao tiếp với các secondary VLAN khác. Private VLAN được cấu hình bằng cách sử dụng các trường hợp đặc biệt của
    một VLAN thông thường. Tuy nhiên, VLAN Trunking(VTP)không cho phép truyền bất kỳ thông tin về cấu hình private VLAN. Vì vậy, private VLAN chỉ có tác dụng trên một switch nội bộ. Mỗi private VLAN phải được cấu hình trên một switch nội bộ để có thể kết nối chúng. Chúng ta phải cấu hình các cổng vật lý của switch để có thể sử dụng private VLAN trong một VLAN. Chúng ta cũng phải định nghĩa các port với một trong các kiểu sau:
    • Promiscous- các port trên switch có thể kết nối với một router, firewall hoặc sử dụng chung một gateway. Các port này có thể kết nối với bất kỳ primary hoặc secondary VLAN. Nói cách khác, nếu các port thuộc mode promiscuous thì sẽ được bõ qua các quy tắc của private VLAN.
    • Host-các port trên switch kết nối đến máy chủ thông thường thuộc isolated VLAN hay community VLAN. Port chỉ giao tiếp với một promiscuou hoặc một port trên cùng một community VLAN.

    Hình 1.1 cho thấy các hoạt động cơ bản của private VLAN. Một số máy tính kết nối với một secondary community VLAN. Hai community VLAN thuộc một primary VLAN, nơi mà các router kết nối lại tất cả. Router kết nối tới cổng community của primary VLAN. Một máy tính duy nhất kết nối vào secondary isolated VLAN, vì vậy nó chỉ có thể giao tiếp với cổng promisuous của router.
    4.2.2. Cấu hình Private VLAN
    Để cấu hình Private VLAN, chúng ta bắt đầu bằng việc xác định bất kỳ secondary VLAN cần được cô lập bằng cách sử dụng các lệnh cấu hình sau đây:
    Switch(config)# vlan vlan-id
    Switch(config-vlan)#private-vlan {isolated | community}

    Các secondary VLAN có thể là một isolated VLAN(không có kết nối giữa các isolated port) hoặc một community VLAN(có kết nối giữa các port trong nhóm).
    Bây giờ primary VLAN sẽ cung cấp các kết nối Private VLAN bằng cách
    sử dụng các lệnh sau đây:
    Switch(config)#vlan vlan-id
    Switch(config-vlan)#private-vlan primary
    Switch(config-vlan)#private-vlan association {secondary-vlan-list | add
    secondary-vlan-list | remove secondary-vlan-list }

    Hãy chắc rằng primary VLAN có thể giao tiếp với các secondary VLAN bằng cách sử dụng chung một từ khóa association. Nếu các primary VLAN đã được cấu hình, chúng ta có thể thêm (add) hoặc xóa (remove) liên kết giữa các secondary VLAN riêng biệt.
    Những câu lệnh cấu hình VLAN chỉ tạo ra các kết nối theo một chiều từ secondary tới primary VLAN. Chúng ta cũng phải gắn các cổng trên switch vào các private VLAN tương ứng.

    4.2.2.1. Associate port trên Private VLAN
    Đầu tiên, xác định các chức năng của port này khi tham gia vào một
    private VLAn bằng cách sử dụng các lệnh cấu hình sau đây:

    Switch(config-if ) #switchport mode private-vlan {host | promiscuous}

    Nếu một host được kết nối với một port của router, firewall, hoặc có chung gateway với VLAn, chúng ta sẽ sử dụng chung từ khóa là promiscuous. Điều này cho phép các host tìm thấy các port khác như
    promiscuous, isolated, hoặc community port đang giao tiếp với primary VLAN. Nói cách khác, bất kỳ port isolated hoặc community nào cũng phải có chung từ khóa là host.

    Đối với một port là nonpromiscuous (sử dụng câu lệnh switchport mode private-vlan host),chúng ta phải gắn các port trên switch vào các primary và secondary VLAN một cách hợp lý. Các port trên switch phải biết làm thế nào để tương tác với các VLAN khác nhau bằng cách sử dụng câu lệnh cấu hình interface dưới đây:

    Switch(config-if)#switchport private-vlan host-association primary-vlan-id secondary-vlan-id

    NOTE:
    Khi các port trên switch giao tiếp với private VLAN, chúng ta không thể cấu hình tĩnh access VLAN. Thay vào đó, các port sẽ đưa vào primary và secondary VLAN cùng một lúc. Điều đó không có nghĩa là các port có đầy đủ các tính năng của các VLAN đó. Thay vào đó, chúng sẽ giao tiếp theo một chiều giữa các secondary và primary VLAN. Là promiscuous port (sử dụng câu lệnh switchport mode private-vlan promiscuous), chúng ta phải map các port vào primary và secondary VLAN. Lưu ý rằng các port ở chế độ promiscuous, hoặc các port có thể giao tiếp các thiết bị thuộc private VLAN, sẽ được map vào các secondary VLAN liên quan. Một port ở chế độ promiscuous thì có thể giao thiếp theo hai chiều (chiều thứ nhất là từ secondary VLAN tới primary VLAN chiều thứ hai là theo hướng ngược lại) trong khi đó các port thuộc secondary VLAN chỉ có thể giao tiếp theo một chiều(từ
    secondary VLAN tới primary VLAN).
    Sử dụng câu lệnh để cấu hình interface để map port ở chế độ promiscuous vào primary hay secondary VLAN:
    Switch (config-if)#switchport private-vlan mapping primary-vlan-id
    secondary-vlan-list | {add secondary-vlan-list} | {remove secondary-vlan-list}


    Ví dụ:


    Giả sử switch trong hình 16-1 được cấu hình như trong ví dụ 16-2. các PC nối với các port FastEthernet 1/1 và 1/2 thuộc community VLAN 10, PC nối với port FastEthernet 1/4 và 1/5 thuộc community VLAN 20, và PC nối với port FastEthernet 1/3 thuộc isolated VLAN 30. Các router nối với port FastEthernet 2/1 ở mode promiscuous thuộc primary VLAN 100. Mỗi VLAN có một vai trò riêng và primary VLAN sẽ liên kết các secondary VLAN với nhau. Sau đó mỗi interface sẽ giao tiếp với một primary VLAN và secondary VLAN(nếu có một PC kết nối vào) hoặc được map vào primary hay secondary VLAN(nếu một PC kết nối vào ở mode promiscuous).
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....



  • #2
    Chuyên đề về thiết kế xây dựng hạ tầng mạng chuyển mạch (VTP)

    4.3. VLAN Trunking Protocol
    4.3.1. Giới thiệu


    Trong môi trường mạng Campus thường gồm có nhiều switch kết nối bên trong, nên việc cấu hình và quản lý một số lượng lớn switch, VLAN và VLAN trunk phải được điều khiển ra ngoài nhanh. Cisco đã triển khai một phương pháp quản lý VLAN qua mạng Campus đó là VLAN Trunking Protocol – VTP.
    VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản trị. Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên cho VLAN trong một miền quản tri nhất định. Thông điệp VTP được đóng gói trong frame của ISL hay 802.1Q và được truyền trên các đường trunk.
    Đồng thời, VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong một hệ thống mạng. Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và sử dụng bất cứ VLAN nào mà VTP quản lý. Sau đây ta sẽ nói đến hoạt động của giao thức VTP.

    4.3.2. Miền VTP


    VTP được sắp sếp trong miền quản lý, hoặc khu vực với các nhu cầu thông thường của VLAN. Một switch có thể chỉ thuộc một miền VTP, và chia sẻ thông tin VLAN với các switch khác trong miền. Tuy nhiên các switch trong các miền VTP khác nhau không chia sẻ thông tin VTP.
    Các switch trong một miền VTP quảng bá một vài thuộc tính đến các miền lân cận như miền quản lý VTP, số VTP, VLAN, và các tham số đặc trưng của VLAN. Khi một VLAN được thêm vào một switch trong một miền quản lý, thì các switch khác được cho biết về VLAN mới này qua việc quảng bá VTP.
    Tất cả switch trong một miền đều có thể sẵn sàng nhận lưu lượng trên cổng trunk sử dụng VLAN mới.
    Các chế độ (mode) VTP
    Để tham gia vào miền quản lý VTP, mỗi switch phải được cấu hình để hoạt động ở chế độ nào. Chế độ VTP sẽ xác định quá trình chuyển mạch và quảng bá thông tin VTP như thế nào. Ta có các chế độ sau:
    • Chế độ Server (Server Mode): các server VTP sẽ điều khiển việc tạo VLAN và thay đổi miền của nó. Tất cả thông tin VTP đều được quảng bá đến các switch trong miền, và các switch khác sẽ nhậnđồng thời. Mặc định là một switch hoạt động ở chế độ server. Chú ý là miền VTP phải có ít nhất một server để tạo, thay đổi hoặc xóa và truyền thông tin VLAN.

    Trong chế độ VTP server, có thể tạo (Create) , chỉnh sửa (Modify), và xóa (Delete) VLAN và chỉ định cấu hình khác các thông số, chẳng hạn như VTP sersion và VTP pruning (cắt tỉa), cho toàn bộ miền VTP. VTP server quảng bá(broadcast) cấu hình VLAN của họ để chuyển mạch khác trong cùng một miền VTP và đồng bộ hóa cấu hình VLAN của họ với các thiết bị chuyển mạch khác dựa trên các quảng bá đã nhận được trên liên kết trunk. VTP server là chế độ mặc định.

    Mode Server:

    - Create , Modify, Delete VLAN
    - Send
    - Synchronize
    - Forward
    • Chế độ Client (Client Mode): chế độ VTP không cho phép người quản trị tạo, thay đổi hoặc xóa bất cứ VLAN nào thay vì lắng nghe các quảng bá VTP từ các switch khác và thay đổi cấu hình VLANmột cách thích hợp. Đây là chế độ lắng nghe thụ động. Các thông tin VTP được chuyển tiếp ra liên kết trunk đến các switch lân cận trong miền, vì vậy switch cũng hoạt động như là một rờ le VTP (relay).

    VTP Client cũng tương tự các VTP server, nhưng không thể tạo, thay đổi, hoặc xóa VLAN trên một Client VTP.

    Mode Client:

    -Can’t : Create, Modify, Delete VLAN
    -Send
    -Synchronize
    -Forward
    • Chế độ transparent (trong suốt): các switch VTP trong suốt không tham gia trong VTP. Ở chế độ trong suốt, một switch không quảng bá cấu hình VLAN của chính nó, và một switch không đồng bộ cơ sở dữ liệu VLAN của nó với thông tin quảng bá nhận được. Trong VTP phiên bản 1, switch hoạt động ở chế độ trong suốt không chuyển tiếp thông tin quảng bá VTP nhận được đến các switch khác, trừ khi tên miền và số phiên bản VTP của nó khớp với các switch khác. Còn trong phiên bản 2, switch trong suốt chuyển tiếp thông tin quảng bá VTP nhận được ra cổng trunk của nó, và hoạt động như rờ le VTP.

    VTP transparent chuyển mạch không tham gia vào VTP. Một VTP transparent chuyển mạch không quảng bá cấu hình VLAN của nó và không đồng bộ hóa cấu hình VLAN của nó dựa trên các quảng bá nhận được. Nhưng transparent chuyển mạch thì chuyển (forward) VTP quảng bá mà nó nhận được ra cổng trunk của nó trong VTP phiên bản 2.
    Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của nó. Tuy nhiên các thay đổi của VLAN không được truyền đến bất cứ switch nào.

    Mode Transparent:

    - Create, Modify, Delete VLAN locally.
    - Can’t Send
    - Can’t Synchronize
    - Forward
    Bảng tóm tắt một số tính năng ở các mode của VTP


    4.3.3. Broadcast VTP
    • Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ 1 đến 1005), và các tham số VLAN trên cổng trunk của nó để báo cho các switch khác trong miền quản lý. Quảng bá VTP được gửi theo kiểu muilticast. Switch chặn các frame gửi đến địa chỉ VTP multicast và xử lý nó. Các frame VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt.
    • Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới, nên một VLAN phải được tạo và cấu hình chỉ trên một VTP server trong miền.
    • Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mật khẩu). Ta có thể thêm mật khẩu để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng mật khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của VTP.

    • Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay đổi tiếp theo, số này tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một quảng bá với số lần sửa lại lớn hơn số lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên thông tin VLAN, vì vậy thêm số 0 này vào rất quan trọng. Số lần sửa lại VTP được lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại này chỉ được khởi tạo là 0 bằng một trong cách sau:

    o Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế độ thành server.
    o Thay đổi miền VTP của switch thành tên không có thực (miền VTP không tồn tại) và sau đó thay đổi miền VTP thành tên cũ.
    o Tắt hay mở chế độ pruning (cắt xén) trên VTP server.
    • Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới, phải quảng bá VLAN không tồn tại, hoặc đã xóa. Nếu số lần sửa lớn hơn lần quảng bá liền trước, thì switch lắng nghe rồi ghi đè lên toàn bộ sơ sở dữ liệu của VLAN với thông tin trạng thái VLAN là null hoặc bị xóa. Điều này đề cập đến vấn đề đồng bộ VTP.

    • Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học về cơ sở dữ liệu VTP ở thời điểm khởi động, và từ switch (server-mode) khi có sự thay đổi cấu hình VLAN. Việc quảng bá VTP có thể xảy ra trong ba hình thức sau:

    o Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTP gửi thông báo tổng kết 300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu của VLAN. Thông tin của thông báo tổng kết gồm có miền quản lý, phiên bản VTP, số lần sửa lại cấu hình, đánh dấu thời gian (timestamp), mã hóa hàm băm MD5, và số tập con của quảng bá đi theo. Đối với sự thay đổi cấu hình VLAN, có một hoặc nhiều tập con quảng bá với nhiều dữ liệu cấu hình VLAN riêng biệt trong thông báo tổng kết :

    o Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTP quảng bá tập con sau khi có sự thay đổi cấu hình VLAN. Thông báo này gồm có các thay đổi rõ ràng đã được thực thi, như tạo hoặc xóa một VLAN, tạm ngưng hoặc kích hoạt lại một VLAN, thay đổi tên VLAN, và thay đổi MTU của VLAN (Maximum Transmission Unit). Thông báo tập con có thể gồm có các thông số VLAN như: trạng thái của VLAN, kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mật SAID (Security Association Identifer), và tên VLAN. Các VLAN được ghi vào thông báo tập hợp con một cách tuần tự và riêng lẻ :

    o Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xác lập lại, xóa cở sở dữ liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghe thông báo tổng kết VTP với số lần sửa lại cao hơn số hiện tại. Sau thông báo client yêu cầu, thì các server đáp ứng bằng thông báo tổng kết và thông báo tập con :

    o Các Catalyst switch (server-mode) lưu trữ thông tin VTP không dính liếu đến cấu hình switch trong NVRAM VLAN và dữ liệu VTP được lưu trong file vlan.dat trên hệ thống file bộ nhớ Flash của switch. Tất cả thông tin VTP như số lần cấu hình lại VTP được lưu lại khi tắt nguồn điện của switch. Switch có thể khôi phục cầu hình VLAN từ cơ sở dữ liệu VTP sau khi nó khởi động.

    4.3.4. VTP Prunning


    Như ta đã biết switch chuyển tiếp các frame broadcast ra tất cả các port sẵn có trong miền broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minh hơn, nhưng cũng cùng một kiểu. Khi witch không tìm thấy địa chỉ MAC đích trong bảng chuyển tiếp thì nó phải chuyển frame ra tất cả các port để cố gắng tìm đến đích.
    Khi chuyển tiếp frame ra tất cả các port trong miền broadcast hoặc VLAN, thì kể cả các port của trunk nếu có VLAN. Thông thường, trong mạng có một vài switch, các liên kết trunk giữa các switch và VTP được sử dụng để quản lý việc truyền thông tin VLAN. Điều này làm cho các liên kết trunk giữa các switch mang lưu lượng từ tất cả VLAN.
    Do đó VTP pruning sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu lương không cần thiết. Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN đó. VTP pruning là sự mở rộng trên phiên bản 1 của VTP, sử dụng kiểu message VTP bổ sung. Khi một Catalyst Switch có một port với một VLAN, thì switch gửi quảng bá đến các switch lân cận mà có port hoạt động trên VLAN đó. Các lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng tràn từ một VLAN có sử dụng port trunk hay không.
    4.3.5. Cấu hình
    Các bước cấu hình VTP(cấu hình trong mode config):
    o Kích hoạt: vtp mode {server|transparent|client}
    o Cấu hình domain: vtp domain {domain_name}
    o Cấu hình password: vtp password {your_password}

    Lưu ý: để các switch tham gia vào VTP thì chúng phải cùng domain, cùng version và cùng password(nếu có).

    4.3.6. Troubleshooting VLAN

    Vì một lý do nào đó mà một switch không nhận đựơc thông tin cập nhật từ VTP server, thì hãy xem xét các nguyên nhân sau:
    o Switch được cấu hình theo kiểu transparent nên khi nhận các quảng bá VTP đến thì nó không được xử lý.
    o Nếu switch được cấu hình theo kiểu Client, thì nó không có chức năng như VTP server. Trong trường hợp này, thì cấu hình thành VTP sever của chính nó.
    o Xem xét tên miền được cấu hình đúng với VTP server chưa?
    o Xem xét phiên bản VTP tương thích với các switch trong miền VTP chưa?
    Chú ý: nếu một switch mới (có thể ở chế độ client hay server) được cấu hình ở cùng một miền của mạng chuyển mạch trước đó, và có số lần cấu hình lại cao hơn tất cả các switch hiện có trong mạng, thì ngay sau khi switch mới này được đưa vào mạng, nó sẽ đồng bộ thông tin của nó với toàn bộ switch trong mạng. Điều này cực kỳ nguy hiểm vì có thể dẫn đến toàn bộ mạng bị treo, vì các thông tin VLAN đã thay đổi hoàn toàn. Để ngăn chặn điều này xảy ra thì ta sẽ thiết lập lại số lần cấu hình của mỗi switch mới trước khi đưa vào mạng.
    Last edited by lamvantu; 25-07-2011, 07:42 AM.
    Lâm Văn Tú
    Email :
    cntt08520610@gmail.com
    Viet Professionals Co. Ltd. (VnPro)
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel: (08) 35124257 (5 lines)
    Fax (08) 35124314
    Tập tành bước đi....


    Comment

    Working...
    X