HỆ THỐNG MẠNG LAN NỘI BỘ MÔ HÌNH 3 LỚP

   Hệ thống mạng nội bộ mô hình 3 lớp

   Mạng LAN được thiết kế tuân theo mô hình 3 lớp của mạng LAN campus. Mô hình này hiện naycũng được rất nhiều hãng sản xuất áp dụng phổ biến vì những lợi ích mà nó mang lại.Theo Cisco, mạng LAN campus có thể được phân thành 3 lớp cơ bản như sau: lớp Lõi (core layer), lớp Phân Phối (Distribution Layer) và lớp Truy Cập (Access Layer). Tuy nhiên, tùy theo quy mô của mạng LAN mà có thể có hay không có lớp Lõi. Dưới đây chúng tôi sẽ trình bày sơ lược về cả ba lớp của mô hình LAN Campus của Cisco.

   Mô hình 3 lớp của mạng LAN

   1.Lớp Lõi (Core Layer)

   Tốc độ vận chuyển dữ liệu rất nhanh, liên kết với các lớp mạng truy cập và lớp mạng phân bố khác. Lớp này còn được coi là đại lộ liên kết các đường nhỏ với nhau.

   Nếu có một sự hư hỏng xảy ra ở lớp lõi, hầu hết các người dùng trong mạng LAN đều bị ảnh hưởng. Vì vậy, sự dự phòng là rất cần thiết tại lớp này. Do lớp lõi vận chuyển một số lượng lớn dữ liệu, nên độ trễ tại lớp lõi phải là cực nhỏ.Tại lớp lõi, ta không nên làm bất cứ một điều gì có thể ảnh hưởng đến tốc độ chuyển mạch tại lớp lõi như là tạo các access list, routing giữa các VLAN với nhau hay packet filtering.

   Các đặc điểm Lớp lõi bao gồm :

   - Vận chuyển nhanh

   - Độ tin cậy cao

   - Có tính dự phòng

   - Khả năng chịu lỗi

   - Độ trễ thấp, quản lý tốt

   - Hạn chế và nhất quán đường kính

   - Chất lượng dịch vụ (QoS)

   2.Lớp Phân Phối (Distribution Layer)

   Lớp Phân Phối cung cấp kết nối giữa lớp Truy Cập và lớp Lõi của mạng. Chức năng chính của lớp Phân

   Phối là xử lý dữ liệu như là: định tuyến (routing), lọc gói (filtering), truy cập mạng WAN, tạo access list... Lớp Phân Phối phải xác định cho được con đường nhanh nhất mà các yêu cầu của user được đáp ứng. Sau khi xác định được con đường nhanh nhất, nó gởi các yêu cầu đến lớp Lõi. Lớp Lõi chịu trách nhiệm chuyển mạch các yêu cầu đến đúng dịch vụ cần thiết.Lớp Phân Phối là nơi thực hiện các chính sách (policies) cho mạng. Có một số điều nên thực hiện khi thiết kế lớp Phân Phối:

   - Thực hiện các access list, packet filtering, và queueing tại lớp này

   - Thực hiện bảo mật và các chính sách mạng bao gồm address translation (như NAT, PAT) và firewall.

   - Redistribution (phối hợp lẫn nhau) giữa các giao thức định tuyến, bao gồm cả định tuyến tĩnh.

   - Định tuyến giữa các VLAN với nhau.

   - Định nghĩa các broadcast và multicast domain.

   Lớp Phân Phối thường có một switch trung tâm có nhiệm vụ chuyển mạch chính, routing giữa các VLAN và thực hiện các access list để cho phép hay không cho phép dữ liệu vào ra các VLAN. Ngoài ra, do tầm quan trọng của thiết bị hoạt động tại lớp này (nếu thiết bị có sự cố sẽ ảnh hưởng đến toàn bộ hệ thống) nên cần có thêm một switch hoạt động ở chế độ dự phòng để đảm bảo cho hệ thống mạng hoạt động liên tục

   3.Lớp Truy Cập (Access Layer)

   Lớp truy cập chủ yếu được thiết kế cung cấp các cổng kết nối đến từng máy trạm trên cùng một mạng, nên thỉnh thoảng nó còn được gọi là Desktop Layer. Bất cứ các dữ liệu nào của các dịch vụ từ xa (ở các VLAN khác, ở ngoài vào) đều được xử lý ở lớp Phân Phối.

   Lớp Truy Cập phải có các chức năng sau:

   -Tiếp tục thực hiện các access control và policy từ lớp Phân Phối.

   -Tạo ra các collision domain riêng biệt nhờ dùng các switch chứ không dùng hub/bridge.

   -Lớp truy cập phải chọn các bộ chuyển mạch có mật độ cổng cao đồng thời phải có giá thành thấp, kết nối đến các máy trạm hoặc kết nối tốc độ Gigabit (1000 Mbps) đến thiết bị chuyển mạch ở lớp phân phối.

   Như đã nói ở trên, tùy theo quy mô của mạng mà ta có thể thực hiện đầy đủ luôn cả 3 lớp hoặc chỉ thực hiện mô hình kết hợp 2 lớp. Đối với hệ thống mạng LAN Campus của các hệ thống có quy mô và số lượng người sử dụng cuối khá nhỏ nên sẽ áp dụng mô hình 2 lớp gồm có lớp Phân Phối và lớp Access. Lớp Phân Phối chính là thiết bị chuyển mạch trung tâm đặt tại Trung tâm hệ thống mạng, lớp Access là các thiết bị chuyển mạch lớp 2 đặt tại các chi nhánh nằm dải rác quanh đó.

   4.Nguyên tắc phân chia VLAN

   Virtual LANs cho phép các nhà quản trị hạn chế lưu lượng qua mạng chuyển mạch bằng cách nhớm một số người sử dụng dựa trên các giao tiếp của họ trên mạng mà không cần quan tâm tới vị trí vật lý của họ trên mạng. Các VLAN sẽ được phân vào các subnets và các khung chuyển mạch khác nhau, mặc dù có thể hai máy trạm có thể cùng nằm trên một đoạn LAN vật lý nhưng sẽ không giao tiếp được với nhau vì nó nằm trong hai VLAN khác nhau. Các VLAN hoạt động ở tầng 2 của mô hình phân cấp OSI. Lưu lượng giữa các thiết bị phụ thuộc vào giao tiếp bên trong mỗi VLAN. Nếu như các VLAN muốn giao tiếp với nhau, một máy trạm thuộc VLAN này muốn giao tiếp với một máy trạm thuộc VLAN khác thì cần phải có thiết bị hỗ trợ định tuyến hoạt động tại tầng mạng tầng 3 trong mô hình phân cấp OSI. Khi xây dựng các VLAN điểm lợi đầu tiên đạt được là tăng hiệu suất đường truyền mạng, giảm tối thiểu broadcast (quảng bá dữ liệu trên mạng, gây tắc nghẽn mạng, giảm hiệu suất đường truyền). Đồng thời các VLAN cũng làm tăng cao mức độ an ninh trên mạng tạo ra khả năng bảo vệ cao đối với những Server có tính chất quan trọng trong mạng bằng cách tách biệt các Server này vào các VLAN khác nhau, hoặc riêng trong một VLAN.

   5.Phương thức phân chia VLAN

   Các VLAN có thể được phân chia theo phương pháp tĩnh được ấn định trên từng port hoặc theo phương pháp động, sử dụng cơ sở dữ liệu trên server kết hợp với tất cả các địa chỉ MAC kết nối tới một cổng đơn trên cùng một VLAN.

   Phương pháp tĩnh – Đây là phương pháp phân chia VLAN khá thông dụng. Ta có thể thiết lập các VLAN này bằng cách ấn định mỗi cổng trên thiết bị Switch với chỉ một VLAN. Các cổng trong một VLAN sẽ chia sẻ Broadcast với nhau. Hầu hết các Catalyst Switch của Cisco đều hỗ trợ tới 1,024 VLAN với 250 VLAN trong số đó có thể hoạt động cùng một lúc.

   Phương pháp động – Các port trên các Catalyst Switch sẽ tự động xác định việc ấn định các VLAN theo địa chỉ MAC tại mỗi end-user. Catalyst 1900 hỗ trợ các VLAN động sử dụng VMPS (VLAN Membership Policy Server). VMPS sử dụng cơ sở dữ liệu về địa chỉ MAC để phân chia VLAN dựa trên các địa chỉ MAC.

 

   6.Lợi ích của VLAN

   Việc phân chia các VLAN đem lại một số lợi ích chính sau:

   - Giúp cho việc chuyển rời, thêm vào và thay đổi dễ dàng hơn

   - Giảm giá thành quản trị bao gồm cả việc di dời, thêm vào, và thay đổi các máy trạm đầu cuối

   - Cải tiến khả năng điều khiển broadcasts bằng cách giới hạn broadcast tới các cổng bên trong mỗi VLAN.

   - Khả năng phân chia các đoạn VLAN với số lượng PC khá nhỏ, với khả năng mở rộng mở rộng mạng cao hơn khi số lượng máy trạm tăng mà vẫn bảo đảm được tốc độ đường truyền.

   - Phân phối lưu lượng tải bằng cách sử dụng Spanning Tree (đây là phương pháp mở rộng các phương thức truy nhập đường truyền theo cây thư mục nhằm mục đích cân bằng tải lưu lượng VLAN qua các đường liên kết dự phòng.

   - Các server sẽ được nhóm theo các nhóm khác nhau tuỳ theo các mức độ an ninh cần thiết vào các VLAN. Điều này làm tăng khả năng an toàn dữ liệu cho các Server trong hệ thống mạng chống lại việc truy cập bất hợp pháp của cả người sử dụng bên trong cũng như những tấn công từ bên ngoài.

   7.Bảo mật hệ thống với VLAN

   Khi thiết kế một hệ thống mạng, bảo mật luôn là một vấn đề chiếm được sự quan tâm hàng đầu. Mạng LAN là hệ thống mạng chia sẻ (shared). Một số chương trình cài trên PC có thể bắt các gói tin truyền đi trên mạng. Do đó các thông tin nhạy cảm như: password, email, tiền lương hay các thông tin không được mã hóa khác hoàn toàn có thể bị mất. Đối với một phòng ban, điều này có thể không là vấn đề lớn. Tuy nhiên, trong một hệ thống mà nhiều phòng ban kết nối vào chung segment, việc mất mát thông tin như vậy sẽ gây hậu quả hết sức nghiêm trọng.

   Thực tế, vấn đề này không chỉ giới hạn trong một segment. Nó có thể xảy ra trong môi trường nhiều segment kết nối với nhau qua routers. Nếu một phòng ban (Giả sử là Kế toán) đặt tại hai vị trí khác nhau, mỗi vị trí tương ứng với một segment. Thông tin truyền giữa hai segment phải đi qua một segment trung gian. Với mô hình này, các thông tin truyền đi trong phòng kế toán rất có thể bị mất. Có một cách đơn giản để giải quyết vấn đề này, đó là gộp cả phòng kế toán vào một segment. Tuy nhiên, điều này đôi khi không thực hiện được trong thực tế do giới hạn về kích thước không gian làm việc.

   Với việc áp dụng VLAN trong hệ thống, người quản trị đã đặt thêm một lớp ngăn cách giữa các người dùng với nhau và do đó giảm được nguy cơ mất mát thông tin. Mỗi VLAN là một broadcast domain, do đó người dùng ở VLAN này sẽ được tách biệt với người dùng ở VLAN khác. Để có thể kết nối người dùng ở hai VLAN khác nhau, chúng ta phải sử dụng một thiết bị lớp 3. Đó có thể là L3 Switch hoặc router. Khi đó, người quản trị có thể đặt ACL (Danh sách điều khiển truy nhập) để đặt quyền truy cập hệ thống đến từng người dùng, từng giao thức... Cho phép giảm lưu lượng thông tin trên mạng, nâng cao hiệu quả hoạt động của mạng.

SHARING YOUR NEEDS

Please contact us, all your wishes will be heard!