Nắm Bắt Cấu Hình VLAN Trên Switch Cisco: Hướng Dẫn Toàn Diện
Trong kiến trúc của mạng doanh nghiệp hiện đại, Virtual Local Area Networks (VLANs) không chỉ là một tiện ích; chúng là một trụ cột cơ bản về bảo mật, hiệu suất và logic tổ chức. Bằng cách phân chia một switch vật lý thành nhiều mạng logic, các kỹ sư có thể cô lập các miền phát sóng, bảo vệ dữ liệu nhạy cảm và đơn giản hóa quản lý lưu lượng. Hướng dẫn này cung cấp một quy trình từng bước chi tiết để cấu hình, xác minh và quản lý VLAN trên switch dựa trên Cisco IOS, được thiết kế cho các chuyên gia mạng tìm kiếm sự chính xác và tuân thủ các phương pháp tốt nhất.
1. Hiểu Biết Về Mô Hình VLAN
Trước khi thực thi các lệnh, điều quan trọng là phải hiểu cơ chế. VLAN gắn thẻ các khung Ethernet với một định danh (ID) 802.1Q, cho phép các switch phân biệt các luồng lưu lượng. Các cổng trên một switch thường được gán cho một trong hai chế độ:
- Cổng Truy Cập (Access Ports): Kết nối các thiết bị cuối (máy tính, máy in) và mang lưu lượng cho một VLAN duy nhất. Các khung không được gắn thẻ khi rời khỏi cổng đến thiết bị.
- Cổng Trunk: Kết nối các switch với các switch hoặc router khác. Chúng mang lưu lượng cho nhiều VLAN và duy trì các thẻ 802.1Q để xác minh quyền sở hữu khung.
2. Tạo và Đặt Tên VLAN
Bước đầu tiên trong việc phân đoạn là định nghĩa các VLAN trong cơ sở dữ liệu của switch. Trong khi ID VLAN có thể từ 1 đến 4094, phạm vi tiêu chuẩn (1-1005) được sử dụng phổ biến nhất.
Switch# configure terminal Switch(config)# vlan 10 Switch(config-vlan)# name DATA_NETWORK Switch(config-vlan)# exit Switch(config)# vlan 20 Switch(config-vlan)# name VOICE_NETWORK Switch(config-vlan)# exit Switch(config)# vlan 99 Switch(config-vlan)# name MANAGEMENT Switch(config-vlan)# endThực Tốt Luôn: Luôn đặt tên cho các VLAN của bạn. Trong các môi trường phức tạp, việc thấy “VLAN 20” ít thông tin hơn nhiều khi khắc phục sự cố so với việc thấy “VOICE_NETWORK”.
3. Gán Cổng Cho VLAN (Chế Độ Truy Cập)
Khi các VLAN đã tồn tại, các giao diện vật lý phải được gán cho chúng. Cấu hình này cho switch biết rằng bất kỳ lưu lượng nào vào một cổng cụ thể thuộc về một VLAN cụ thể.
Cấu hình một giao diện duy nhất:
Switch(config)# interface GigabitEthernet0/1 Switch(config-if)# description Connection to HR_PC_01 Switch(config-if)# switchport mode access Switch(config-if)# switchport access vlan 10 Switch(config-if)# no shutdownCấu hình một dải giao diện:
Switch(config)# interface range GigabitEthernet0/2 - 10 Switch(config-if-range)# description HR_Department_PCs Switch(config-if-range)# switchport mode access Switch(config-if-range)# switchport access vlan 104. Cấu Hình Liên Kết Trunk (Kết Nối Giữa Các Switch)
Để truyền lưu lượng giữa các switch, bạn phải cấu hình các liên kết trunk. Các liên kết này mang các khung đã được gắn thẻ. Điều quan trọng là phải đặt VLAN gốc (lưu lượng vẫn không được gắn thẻ) thành một giá trị khác VLAN mặc định 1 vì lý do bảo mật.
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# description Uplink_to_Core_Switch
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# switchport trunk allowed vlan 10,20,99Note: The command `switchport trunk encapsulation dot1q` may not be required on newer switches that only support 802.1Q, but it is mandatory on older models that also supported ISL.
5. Configuring Voice VLANs
In environments with IP phones, a single port often supports both a PC and a phone. Cisco switches use a specialized feature called “Voice VLAN” to handle this via a mini-trunk.
Switch(config)# interface GigabitEthernet0/5
Switch(config-if)# description PC_and_Phone
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# switchport voice vlan 20
Switch(config-if)# trust device cisco-phoneThis configuration places data traffic in VLAN 10 (untagged) and voice traffic in VLAN 20 (tagged), ensuring Quality of Service (QoS) separation.
6. Verification and Troubleshooting
Configuration is only half the job; verification ensures stability. Use the following commands to validate your setup.
Verify VLAN Database
Ensure your VLANs are active and named correctly.
Switch# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gi0/11, Gi0/12...
10 DATA_NETWORK active Gi0/1, Gi0/2...
20 VOICE_NETWORK active Gi0/5
99 MANAGEMENT active Verify Interface Assignments
Check the administrative and operational mode of specific ports.
Switch# show interfaces switchport
Name: Gi0/1
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Access Mode VLAN: 10 (DATA_NETWORK)
Trunking Native Mode VLAN: 1 (default)
...Verify Trunk Links
Confirm which ports are trunking and which VLANs are allowed across them.
Switch# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/24 on 802.1q trunking 99
Port Vlans allowed on trunk
Gi0/24 10,20,997. Security Best Practices: VLAN Hopping Mitigation
Default configurations are often insecure. Attackers can exploit Dynamic Trunking Protocol (DTP) to hop between VLANs. Secure your ports with these standard hardening steps:
- Disable DTP on Access Ports: By hard-coding `switchport mode access`, you prevent the port from negotiating a trunk link.
- Shutdown Unused Ports: Any port not in use should be administratively down and assigned to a “black hole” VLAN (a VLAN with no Layer 3 access).
- Disable DTP Globally (Optional but Recommended): Use `switchport nonegotiate` on trunk links to stop DTP frames.
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport nonegotiatePhần kết luận
Effective VLAN management is the bedrock of a stable network infrastructure. By strictly adhering to naming conventions, properly configuring trunk and access modes, and implementing security controls against VLAN hopping, network engineers ensure a scalable and secure environment. Regular auditing using verification commands is essential to maintaining configuration integrity over time.
Whatsapp+8613603031172
