Private VLAN (PVLAN) là một công nghệ quan trọng trong việc quản lý và bảo mật mạng LAN. Được sử dụng rộng rãi trong các môi trường doanh nghiệp và dịch vụ, PVLAN giúp cải thiện bảo mật, tối ưu hóa tài nguyên mạng và tạo điều kiện cho triển khai ứng dụng đa dạng. Bài viết này, Viễn Thông Xanh sẽ giúp bạn hiểu rõ hơn về vai trò quan trọng của Private VLAN và cách cấu hình chúng cho mạng LAN của bạn.

Private VLAN (PVLAN) là gì?

Như bạn đã biết rằng VLAN (Virtual Local Area Network) là một cách để chia mạng LAN thành các phân đoạn ảo để tạo ra các mạng con ảo riêng biệt trên cùng một hạ tầng vật lý. Tuy nhiên, trong một mạng VLAN truyền thống, các thiết bị trong cùng một VLAN có thể giao tiếp với nhau mà không có sự hạn chế nào.

Trong trường hợp bạn muốn có sự hạn chế giao tiếp giữa các thiết bị trong cùng một mạng LAN như trong trường hợp trong các mô hình khách sạn hoặc trung tâm dữ liệu, để ngăn chặn sự giao tiếp trực tiếp giữa các thiết bị khách hàng trong cùng một phòng hoặc tầng. Nhưng đồng thời cho phép các thiết bị khách hàng truy cập vào các tài nguyên chia sẻ như máy chủ hoặc dịch vụ mạng chung. Thì lúc này bạn cần đến một kỹ thuật nâng cao hơn đó là Private VLAN.

“Private VLAN (PVLAN) là một kỹ thuật trong mạng máy tính để cách ly các thiết bị trong cùng một mạng LAN. Mục tiêu của Private VLAN là tạo ra các lớp cách biệt bên trong một mạng LAN, cho phép các thiết bị có thể giao tiếp với nhau hoặc với các tài nguyên mạng khác dựa trên các quy tắc được cấu hình, trong khi vẫn giữ được mức độ cách biệt an toàn giữa chúng.”

Sự khác biệt của Private VLAN với VLAN thông thường

Các VLAN giới hạn việc truyền tải tín hiệu phát sóng đến người dùng cụ thể. Private VLAN (PVLAN) đưa khái niệm này một bước xa hơn bằng cách chia tách miền phát sóng thành nhiều phân miền phát sóng cách biệt và thực tế đặt các VLAN phụ vào trong một VLAN chính.

PVLAN giới hạn luồng dữ liệu thông qua các cổng chuyển thành viên (gọi là “cổng riêng tư“) để chúng chỉ giao tiếp với cổng trunk uplink đã xác định hoặc với các cổng cụ thể trong cùng một VLAN. Cổng trunk uplink thường kết nối với một bộ định tuyến, tường lửa, máy chủ, hoặc mạng cung cấp dịch vụ. Mỗi PVLAN thường bao gồm nhiều cổng riêng tư chỉ giao tiếp với một cổng uplink duy nhất, từ đó ngăn cản các cổng giao tiếp với nhau.

Tương tự như VLAN thông thường, PVLANs được cách biệt trên Layer 2 và yêu cầu sử dụng thiết bị Layer 3 để định tuyến dữ liệu giữa chúng. PVLANs hữu ích để hạn chế luồng dữ liệu phát sóng và không biết đến, cũng như hạn chế sự giao tiếp giữa các máy chủ đã biết. Các nhà cung cấp dịch vụ sử dụng PVLANs để cách biệt giữa khách hàng của họ.

Dưới đây là bảng so sánh giữa Private VLAN và chia VLAN thông thường để giúp bạn có cái nhìn tổng quát nhất:

Yếu Tố	Private VLAN (PVLAN)	VLAN Thông Thường (Regular VLAN)
Phạm vi tách biệt	Có các VLAN con: Primary, Isolated, Community	Các VLAN không được tách biệt lẫn nhau
Kiểm soát truy cập	Cung cấp kiểm soát truy cập cấp độ cao hơn	Cung cấp kiểm soát truy cập ở mức VLAN
Bảo mật	Cung cấp tính bảo mật cao hơn với VLAN cô lập	Đòi hỏi sự tạo ra các ACL hoặc Firewalls riêng biệt
Tối ưu hóa tài nguyên	Có khả năng tối ưu hóa tài nguyên mạng bằng cách chia sẻ VLAN chính	Không cung cấp cách tối ưu hóa tài nguyên mạng sâu sắc
Quản lý	Phức tạp hơn trong việc cấu hình và quản lý	Tương đối đơn giản trong việc cấu hình và quản lý
Ứng dụng	Thích hợp cho mô hình dịch vụ, môi trường doanh nghiệp với yêu cầu bảo mật cao	Thích hợp cho các môi trường không yêu cầu tính bảo mật cao hoặc tối ưu hóa tài nguyên

PVLAN có một số hạn chế với các ràng buộc áp dụng cho cấu hình private VLAN:

IGMP snooping không được hỗ trợ với private VLANs.
Giao diện VLAN định tuyến không được hỗ trợ trên private VLANs.
Việc định tuyến giữa các VLAN phụ trong cùng một VLAN chính không được hỗ trợ.

Các loại PVLAN

Private VLAN có ba loại cơ bản sau: VLAN Chính (Primary VLAN), VLAN Cô Lập (Isolated VLAN), và VLAN Cộng Đồng (Community VLAN). Dưới đây là mô tả chi tiết về từng loại PVLAN:

VLAN chính (Primary VLAN):

Mô tả: Đây là VLAN gốc trong cấu trúc PVLAN. Tất cả các thiết bị trong mạng LAN thuộc cùng một VLAN chính có thể giao tiếp với nhau như trong một VLAN thông thường.
Ứng Dụng: VLAN chính thường được sử dụng để tạo các kết nối chung cho tất cả các thiết bị trong mạng LAN, cho phép giao tiếp tự do giữa chúng.

VLAN cô lập (Isolated VLAN):

Mô tả: VLAN cô lập là một phần của PVLAN và chứa các thiết bị mà không thể giao tiếp với nhau trong VLAN này. Chúng chỉ có thể giao tiếp với VLAN chính, không thể truy cập hoặc giao tiếp với bất kỳ VLAN cộng đồng nào khác.
Ứng Dụng: VLAN cô lập thường được sử dụng để cách ly các thiết bị nhạy cảm hoặc an toàn như máy chủ, để đảm bảo rằng chúng không thể giao tiếp trực tiếp với nhau.

VLAN cộng đồng (Community VLAN):

Mô tả: VLAN cộng đồng cũng là một phần của PVLAN, nhưng trong đó các thiết bị có khả năng giao tiếp với nhau và với VLAN chính. Tuy nhiên, chúng không thể giao tiếp với các VLAN cộng đồng khác hoặc VLAN cô lập.
Ứng Dụng: VLAN cộng đồng thường được sử dụng trong các kịch bản mà cần có sự tách biệt giữa các nhóm thiết bị như khách hàng hoặc bộ phận trong một công ty. Chúng cho phép các thiết bị trong cùng một VLAN cộng đồng giao tiếp với nhau một cách bình thường, nhưng không thể giao tiếp với các nhóm khác.

Ngoài ba loại cơ bản này, PVLAN còn có một số biến thể khác như Promiscuous VLAN và Isolated Promiscuous VLAN, nhưng chúng thường không được sử dụng rộng rãi và thường dành cho các trường hợp đặc biệt trong việc cấu hình và quản lý mạng.

Các cấu trúc điển hình và ứng dụng của PVLAN

Một PVLAN có thể được tạo trên một switch duy nhất hoặc có thể được cấu hình để lan rộng qua nhiều switch. Dưới đây là 2 cấu trúc điển hình của PVLAN:

Cấu trúc 1: Subdomain trong PVLAN

Cấu trúc mạng PVLAN trong hình trên bao gồm 2 thiết bị chuyển mạch Switch, 1 miên PVLAN chính và nhiều Subdomain khác nhau. Trong cấu trúc này, có các loại Domain sau:

Primary VLAN: là VLAN được sử dụng để chuyển tiếp các khung xuống luồng VLAN cách biệt và cộng đồng.
Secondary isolated VLAN: là VLAN chỉ nhận các gói tin từ VLAN chính và chuyển tiếp các khung lên luồng VLAN chính.
Secondary interswitch isolated VLAN: là VLAN cách biệt giữa các switch phụ – VLAN được sử dụng để chuyển tiếp lưu lượng VLAN cách biệt từ một switch sang một switch khác qua cổng trunk PVLAN. Thẻ 802.1Q được yêu cầu cho các VLAN cách biệt giữa các switch do IEEE 802.1Q sử dụng cơ chế gắn thẻ nội bộ bằng cách mà thiết bị trunking chèn một thẻ xác định khung VLAN 4 byte vào phần tiêu đề gói tin.
Secondary community VLAN: là VLAN cộng đồng phụ – VLAN được sử dụng để chuyển tiếp khung giữa các thành viên của một cộng đồng (một tập con người dùng trong VLAN) và chuyển tiếp khung lên luồng VLAN chính.

Cấu trúc 2: PVLAN mở rộng cho nhiều Switch

Cấu trúc mạng PVLAN trong hình trên cho thấy một PVLAN gồm nhiều Switch. Trong đó PVLAN chính (100) chứa hai miền cộng đồng (300 và 400) và một miền cách biệt giữa các switch.

Yêu cầu thẻ 802.1Q cho PVLAN

Khi các gói tin được đánh dấu bằng thẻ 802.1Q cụ thể cho khách hàng, thẻ đó xác định quyền sở hữu của gói tin cho bất kỳ switch hoặc bộ định tuyến nào trong mạng. Đôi khi, các thẻ 802.1Q cần được sử dụng trong các PVLAN để theo dõi gói tin từ các miền con khác nhau.

Dưới đây là bảng tóm tắt yêu cầu PVLAN đối với Thẻ 802.1Q:

Loại VLAN

Trên 1 Switch

Trên nhiều Switch

VLAN chính

Chỉ định thẻ 802.1Q bằng cách đặt VLAN ID.

VLAN phụ

Không cần thẻ trên VLAN.

VLAN cần thẻ 802.1Q:

Chỉ định thẻ 802.1Q cho mỗi VLAN cộng đồng bằng cách đặt VLAN ID.
Chỉ định thẻ 802.1Q cho ID VLAN cách ly bằng cách đặt ID cách ly.

PVLAN sử dụng địa chỉ IP hiệu quả

PVLAN cung cấp sự bảo quản địa chỉ IP và phân bổ địa chỉ IP hiệu quả. Trong mạng thông thường, các VLAN thường tương ứng với một mạng con IP duy nhất. Trong PVLANs, các máy chủ trong tất cả các VLAN phụ thuộc vào cùng một mạng con IP vì mạng con được cấp cho VLAN chính.

Các máy chủ trong VLAN phụ được gán địa chỉ IP dựa trên các mạng con IP liên quan đến mạng con IP VLAN chính và thông tin mặt nạ mạng con IP của chúng phản ánh mạng con IP VLAN chính. Tuy nhiên, mỗi VLAN phụ là một miền phát sóng riêng biệt.

Các loại cổng PVLAN

PVLANs có thể sử dụng 6 loại cổng khác nhau. Mạng được hiển thị trong cấu trúc PVLAN 2 sử dụng một cổng promiscuous để chuyển thông tin đến bộ định tuyến, các cổng cộng đồng để kết nối các cộng đồng tài chính và nhân sự với các switch tương ứng của họ, các cổng cách biệt để kết nối các máy chủ và một cổng trunk PVLAN để kết nối hai switch. Cổng PVLAN có các ràng buộc khác nhau:

1. Cổng Promiscuous trunk: Một cổng Promiscuous là một cổng trunk upstream kết nối với một bộ định tuyến, tường lửa, máy chủ hoặc mạng cung cấp dịch vụ. Một cổng trunk Promiscuous có thể giao tiếp với tất cả các giao diện, bao gồm các cổng cách biệt và cộng đồng trong một PVLAN.

2. Cổng trunk PVLAN: Một cổng trunk PVLAN được yêu cầu trong cấu hình PVLAN nhiều switch để lan rộng qua các switch. Cổng trunk PVLAN là thành viên của tất cả các VLAN trong PVLAN (tức là VLAN chính, các VLAN cộng đồng và VLAN cách biệt giữa các switch), và nó chuyển tiếp lưu lượng từ VLAN chính và tất cả các VLAN phụ. Nó có thể giao tiếp với tất cả các cổng.

Giao tiếp giữa một cổng trunk PVLAN và một cổng cách biệt (isolated) thường là một chiều. Việc thành viên của một cổng trunk PVLAN trong VLAN cách biệt giữa các switch chỉ là đi ra. Có nghĩa là một cổng cách biệt có thể chuyển tiếp gói tin đến một cổng trunk PVLAN. Nhưng một cổng trunk PVLAN không chuyển tiếp gói tin đến một cổng cách biệt (trừ khi gói tin ra vào trên một cổng truy cập quấy rối và do đó được chuyển tiếp đến tất cả các VLAN phụ trong cùng một VLAN chính như cổng truy cập quấy rối).

3. Cổng trunk VLAN phụ (không được hiển thị) – Các cổng trunk VLAN phụ chuyển tiếp lưu lượng VLAN phụ. Đối với một PVLAN cụ thể, một cổng trunk VLAN phụ có thể chuyển tiếp lưu lượng cho chỉ một VLAN phụ. Tuy nhiên, một cổng trunk VLAN phụ có thể chuyển tiếp lưu lượng cho nhiều VLAN phụ. Miễn là mỗi VLAN phụ là thành viên của một VLAN chính khác nhau. Ví dụ, một cổng trunk VLAN phụ có thể chuyển tiếp lưu lượng cho một VLAN cộng đồng thuộc VLAN chính pvlan100 và cũng chuyển tiếp lưu lượng cho một VLAN cách biệt thuộc VLAN chính pvlan400.

4. Cổng cộng đồng (Community) – Các cổng cộng đồng giao tiếp với nhau và với các cổng Promiscuous của họ. Các cổng cộng đồng phục vụ chỉ một nhóm người dùng lựa chọn. Các giao diện này được tách biệt ở Layer 2 khỏi tất cả các giao diện khác trong các cộng đồng khác hoặc các cổng cách biệt trong PVLAN của họ.

5. Cổng truy cập cách biệt (Isolated access) – Các cổng cách biệt chỉ có kết nối Layer 2 với các cổng Promiscuous và cổng trunk PVLAN – một cổng cách biệt không thể giao tiếp với một cổng cách biệt khác, ngay cả khi hai cổng này là thành viên của cùng một miền VLAN cách biệt (hoặc miền VLAN cách biệt giữa các switch). Thông thường, một máy chủ, chẳng hạn như máy chủ thư hoặc máy chủ sao lưu, được kết nối trên một cổng cách biệt. Trong một khách sạn, mỗi phòng thông thường sẽ được kết nối trên một cổng cách biệt, có nghĩa là giao tiếp giữa các phòng không thể thực hiện được, nhưng mỗi phòng có thể truy cập Internet trên cổng Promiscuous.

6. Cổng truy cập Promiscuous (không được hiển thị) – Những cổng này chuyển tiếp lưu lượng không được gắn thẻ. Lưu lượng vào cổng truy cập quấy rối được chuyển tiếp đến tất cả các cổng VLAN phụ trên thiết bị. Nếu lưu lượng vào thiết bị thông qua một cổng có khả năng gắn thẻ VLAN và lưu lượng ra một cổng truy cập quấy rối, lưu lượng sẽ không được gắn thẻ khi ra ngoài. Nếu lưu lượng được gắn thẻ vào cổng truy cập quấy rối, lưu lượng sẽ bị từ chối.

Dưới đây là bảng tóm tắt xem kết nối Layer 2 có tồn tại giữa các cổng kết nối hay không:

Loại cổng	Promiscuous Trunk	PVLAN Trunk	Secondary Trunk	Community	Isolated Access	Promiscuous access
Promiscuous trunk	Có	Có	Có	Có	Có	Có
PVLAN trunk	Có	Có	Có	Có – chỉ cùng một cộng đồng	Có	Có
Secondary Trunk	Có	Có	Không	Có	Không	Có
Community	Có	Có	Có	Có – chỉ cùng một cộng đồng	Không	Có
Isolated access	Có	Có – chỉ một chiều	Không	Không	Không	Có
Promiscuous access	Có	Có	Có	Có	Có	Không

Lưu ý: Nếu bạn kích hoạt câu lệnh no-mac-learning trên VLAN chính, tất cả các VLAN cách biệt trong PVLAN sẽ thừa hưởng cài đặt đó. Tuy nhiên, nếu bạn muốn tắt việc học địa chỉ MAC trên bất kỳ VLAN cộng đồng nào, bạn phải cấu hình câu lệnh no-mac-learning trên từng VLAN đó.

Hướng dẫn cấu hình Private VLAN trên Switch Cisco

Sau đây mình sẽ hướng dẫn bạn các câu lệnh cấu hình Private VLAn trên các sản phẩm Switch Cisco từ cơ bản đến nâng cao. Cấu hình PVLAN yêu cầu kiến thức về VLAN cơ bản và hoạt động của mạng, vì vậy hãy chắc chắn bạn đã hiểu rõ về các khái niệm này trước khi bắt đầu. Dưới đây là các câu lệnh từng bước:

Tạo Primary VLAN

PVLAN bắt đầu với một VLAN chính (Primary VLAN) chứa tất cả các VLAN con khác. Nên bạn hãy tạo VLAN chính trước:

Switch(config)# vlan 100 Switch(config-vlan)# name PrimaryVLAN Switch(config-vlan)# exit

Tạo Secondary VLANs

Sau khi tạo VLAN chính, bạn có thể tạo các VLAN phụ (Secondary VLANs) như VLAN cách biệt (Isolated VLANs) và VLAN cộng đồng (Community VLANs).

Để tạo VLAN cách biệt:

Switch(config)# vlan 200 Switch(config-vlan)# private-vlan isolated Switch(config-vlan)# exit

Để tạo VLAN cộng đồng:

Switch(config)# vlan 300 Switch(config-vlan)# private-vlan community Switch(config-vlan)# exit

Kết nối VLAN Secondary với Primary

Bây giờ, bạn cần kết nối các VLAN phụ (Isolated VLANs và Community VLANs) với VLAN chính (Primary VLAN). Hãy thực hiện các bước sau:

Switch(config)# vlan 200 Switch(config-vlan)# private-vlan association 100 Switch(config-vlan)# exit Switch(config)# vlan 300 Switch(config-vlan)# private-vlan association 100 Switch(config-vlan)# exit

Thiết lập cổng thành viên của PVLAN

Tiếp theo, bạn cần thiết lập cổng thành viên cho từng VLAN phụ. Ví dụ, để thiết lập cổng Ethernet 1/1 là cổng thành viên của VLAN cách biệt 200:

Switch(config)# interface ethernet 1/1 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 200 100 Switch(config-if)# exit

Thiết lập cổng promiscuous

Các cổng promiscuous sẽ giao tiếp với tất cả các VLAN trong PVLAN. Ví dụ, để thiết lập cổng Ethernet 1/24 là cổng quấy rối:

Switch(config)# interface ethernet 1/24 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 add 200,300 Switch(config-if)# exit

Lưu và kiểm tra cấu hình

Sau khi bạn hoàn thành cấu hình, đừng quên lưu cấu hình và kiểm tra để đảm bảo rằng PVLAN hoạt động đúng:

Switch(config)# end Switch# copy running-config startup-config Switch# show vlan private-vlan

Trên đây là một hướng dẫn cơ bản về cách cấu hình Private VLAN trên một Switch Cisco. Lưu ý rằng cấu hình PVLAN có thể phức tạp hơn khi áp dụng vào môi trường thực tế, và nó cũng có thể khác nhau tùy theo phiên bản của Switch và phiên bản phần mềm. Hãy đảm bảo bạn đã tìm hiểu kỹ trước khi triển khai PVLAN trong mạng của mình.

Nếu chưa chắc chắn hãy liên hệ với Viễn Thông Xanh để nhận được sự hỗ trợ và tư vấn cấu hình Switch Cisco giúp bạn!

Tổng Kết:

Trong bài viết này, mình và bạn đã tìm hiểu về Private VLAN (PVLAN) và những điểm đặc biệt mà chúng mang lại so với VLAN thông thường. PVLAN cung cấp một cách mạnh mẽ để tối ưu hóa quản lý mạng LAN, cải thiện bảo mật và tạo điều kiện cho triển khai ứng dụng đa dạng. Các loại PVLAN bao gồm VLAN Chính, VLAN Cô Lập và VLAN Cộng Đồng, mỗi loại có mục tiêu và ứng dụng riêng biệt.

PVLAN là một công nghệ quan trọng trong việc xây dựng các mạng LAN an toàn và hiệu suất cao, đặc biệt trong các môi trường doanh nghiệp và dịch vụ. Chúng cho phép kiểm soát truy cập chi tiết, tối ưu hóa tài nguyên mạng và đảm bảo tính riêng tư của các máy chủ và thiết bị quan trọng.

Khi triển khai PVLAN, hãy xem xét cẩn thận cấu hình của mình và hiểu rõ nhu cầu cụ thể của mạng để đảm bảo rằng PVLAN được tối ưu hóa cho tình huống cụ thể của bạn. Sử dụng đúng cách, PVLAN có thể là một công cụ mạnh mẽ để nâng cao bảo mật và hiệu suất của mạng LAN của bạn.

Nếu trong bài viết có phần nào chưa hiểu, đừng ngần ngại liên hệ với mình để được hỗ trợ tư vấn và giải đáp. Mình luôn sẵn sàng hỗ trợ bạn. Ngoài ra, Viễn Thông Xanh là đơn vị cung cấp các thiết bị mạng chính hãng, uy tín trên thị trường hiện nay. Do đó, nếu bạn đang có nhu cầu tìm hiểu, đặt mua các sản phẩm như Switch, Bộ định tuyến, Modem, Tường lửa, máy chủ,… hãy liên hệ với đội ngũ kinh doanh của VTX qua số Zalo hiển thị trên web hoặc để lại lời nhắn tại Ô Chat Nhanh phía bên phải màn hình!

Xem thêm các bài viết hay khác: