VLAN là gì? Phân loại, Lợi ích, Cách hoạt động & Cách cấu hình

Mạng VLAN là kỹ thuật phân đoạn mạng LAN vật lý thành nhiều miền logic nhỏ, giúp tối ưu hiệu suất và tăng bảo mật mạng. Bài viết này của InterData cung cấp kiến thức toàn diện về mạng LAN ảo (VLAN), từ lý thuyết cơ bản (khái niệm, nguyên lý hoạt động) đến các bước hướng dẫn cấu hình VLAN chi tiết trên các thiết bị mạng phổ biến để triển khai và quản lý hệ thống mạng một cách chuyên nghiệp hơn.

Mạng VLAN là gì?

VLAN là viết tắt của Virtual Local Area Network, tạm dịch là Mạng LAN ảo hay Mạng cục bộ ảo. Đây là một kỹ thuật được sử dụng rộng rãi để phân đoạn một mạng LAN vật lý thành nhiều phân đoạn mạng logic nhỏ hơn, độc lập với nhau.

Hiểu đơn giản, một VLAN cho phép các thiết bị (máy tính, máy in, máy chủ,…) được nhóm lại với nhau dựa trên chức năng, phòng ban hoặc ứng dụng, bất kể vị trí vật lý của chúng trong mạng. Điều này có nghĩa là, một nhân viên phòng Kế toán ở tầng 1 có thể thuộc cùng một VLAN với nhân viên Kế toán ở tầng 5, miễn là họ cùng chung nhóm logic.

VLAN hoạt động như thế nào?

Cơ chế hoạt động của VLAN xoay quanh việc:

• Khi một gói tin được gửi từ máy trạm (host) vào cổng Access Port của switch, switch dựa vào cấu hình VLAN của cổng đó để gán VLAN ID cho gói tin, xác định thiết bị thuộc VLAN nào.
• Khi gói tin cần truyền qua nhiều switch qua kênh trunk, switch sẽ sử dụng cơ chế VLAN Tagging theo chuẩn IEEE 802.1Q để chèn thêm thẻ VLAN vào Header của khung Ethernet. Thẻ này chứa VLAN ID giúp switch tiếp theo nhận diện được gói tin thuộc VLAN nào.
• Switch ở phía nhận sẽ đọc VLAN tag để quyết định gói tin sẽ đi qua cổng nào và chỉ chuyển tiếp trong phạm vi VLAN đó, cách ly lưu lượng giữa các VLAN khác nhau.

Cụ thể, thẻ VLAN 802.1Q được chèn vào giữa địa chỉ MAC nguồn và trường EtherType trong frame Ethernet ban đầu, giúp mở rộng một kết nối vật lý cho nhiều VLAN mà không gây hỗn loạn lưu lượng. Khi frame được tagging, kích thước frame cũng được điều chỉnh tăng thêm 4 byte cho thẻ vlan này.

VLAN hoạt động bằng cách gắn nhãn VLAN tag (802.1Q) vào frame Ethernet để phân biệt các VLAN trên mạng và các switch sử dụng thẻ đó để phân tách, định tuyến gói tin đúng VLAN, đảm bảo an toàn và tách biệt lưu lượng mạng giữa các VLAN khác nhau.

VLAN ID và Phạm vi hoạt động

Mỗi VLAN trong mạng đều được gán một số định danh duy nhất gọi là VLAN ID. Đây là một trường 12-bit, cho phép định nghĩa tổng cộng $2^{12} = 4096$ VLAN khác nhau (từ 0 đến 4095).

Phạm vi của các VLAN ID được chia thành hai loại chính:

VLAN ID Phạm vi Chuẩn (Normal Range – ID 1 đến 1005):

Các VLAN trong phạm vi này thường được sử dụng trong các mạng quy mô nhỏ và vừa.

• VLAN ID 1 là VLAN mặc định (Default VLAN), luôn tồn tại và không thể xóa được.
• VLAN ID 1002 đến 1005 là các VLAN được dự trữ cho các công nghệ cũ như FDDI và Token Ring.

VLAN ID Phạm vi Mở rộng (Extended Range – ID 1006 đến 4094):

Dùng cho các mạng lớn, nhà cung cấp dịch vụ hoặc các công nghệ đặc biệt.

Các VLAN này không được lưu trữ trong tệp cấu hình VLAN mặc định (VLAN.dat trên Cisco) và phải được cấu hình bằng tay trên từng Switch (trừ khi sử dụng giao thức VLAN Trunking Protocol – VTP, nhưng VTP hiện nay ít được khuyến khích sử dụng).

Phạm vi hoạt động của một VLAN được giới hạn bởi Router hoặc các thiết bị định tuyến Layer 3. VLAN là công nghệ Layer 2, do đó, các máy tính thuộc các VLAN khác nhau không thể giao tiếp trực tiếp với nhau mà cần phải đi qua một thiết bị Layer 3 để thực hiện định tuyến liên VLAN (Inter-VLAN Routing).

Mạng VLAN được phân loại như thế nào?

VLAN có thể được phân loại dựa trên cách các cổng Switch được gán hoặc dựa trên tiêu chí tạo VLAN. Dưới đây là các loại phổ biến nhất:

Port-Based VLANs (VLAN Dựa trên Cổng):

Đây là phương pháp phổ biến nhất. Người quản trị gán thủ công một cổng Switch cụ thể vào một VLAN ID cụ thể.

• Ưu điểm: Dễ cấu hình, dễ quản lý.
• Nhược điểm: Khi người dùng di chuyển sang một cổng khác, quản trị viên phải thay đổi cấu hình cổng đó.

MAC-Based VLANs (VLAN Dựa trên Địa chỉ MAC):

VLAN được xác định dựa trên địa chỉ MAC của thiết bị kết nối.

• Ưu điểm: Khi người dùng di chuyển đến bất kỳ cổng Switch nào, VLAN của họ vẫn được giữ nguyên.
• Nhược điểm: Cần duy trì một cơ sở dữ liệu lớn để ánh xạ MAC Address với VLAN ID, tốn tài nguyên xử lý trên Switch.

Protocol-Based VLANs (VLAN Dựa trên Giao thức):

VLAN được xác định dựa trên loại giao thức của gói tin (ví dụ: IP, IPX).

• Ưu điểm: Có thể nhóm các thiết bị sử dụng cùng một giao thức, hữu ích trong các mạng đa giao thức.
• Nhược điểm: Ít được sử dụng trong mạng hiện đại (chủ yếu là IP).

Phân biệt Access Port và Trunk Port

Việc hiểu rõ hai loại cổng này là kiến thức nền tảng bắt buộc khi làm việc với VLAN.

Đặc điểm	Access Port	Trunk Port
Vai trò	Kết nối với thiết bị cuối (Host, PC, Server, Printer).	Kết nối giữa hai Switch hoặc giữa Switch và Router (Layer 3 Device).
VLAN	Chỉ mang lưu lượng của DUY NHẤT một VLAN (là VLAN được gán).	Mang lưu lượng của NHIỀU VLAN cùng lúc.
Tagging	KHÔNG gắn thẻ VLAN vào Frame khi gửi ra ngoài (Frame đi đến Host không có Tag).	BẮT BUỘC gắn thẻ VLAN Tag (802.1Q) vào Frame.
Lưu lượng	Chỉ lưu lượng Untagged (không có Tag).	Lưu lượng Tagged (có Tag) và Untagged (dành cho Native VLAN).

Access Port là cổng nhập Frame từ máy tính và gán VLAN ID vào Frame đó (nếu Frame đi ra khỏi Switch qua Trunk). Ngược lại, Trunk Port là đường cao tốc mang tất cả các VLAN qua lại giữa các Switch. Nếu Trunk Port bị cấu hình sai, toàn bộ mạng VLAN có thể bị gián đoạn, hoặc tệ hơn là gây ra lỗi bảo mật nghiêm trọng như VLAN hopping.

Ưu và nhược điểm của VLAN là gì?

Việc triển khai VLAN mang lại những lợi ích vượt trội, nhưng cũng đi kèm với một số thách thức kỹ thuật cần lưu tâm.

Ưu điểm vượt trội của VLAN

Việc triển khai VLAN mang lại những lợi ích vượt trội

Giảm thiểu Tắc nghẽn Mạng

Bằng cách chia Broadcast Domain lớn thành nhiều miền nhỏ hơn, VLAN giảm số lượng thiết bị nhận gói tin quảng bá, từ đó giảm lưu lượng không cần thiết trên toàn bộ mạng và tăng tốc độ xử lý cho từng phân đoạn mạng. Điều này đặc biệt quan trọng trong các môi trường có nhiều ứng dụng nhạy cảm về độ trễ như VLAN Voice (Voice over IP).

Tăng cường Bảo mật Mạng

Đây là ưu điểm lớn nhất. Việc tách biệt các nhóm người dùng khác nhau (ví dụ: VLAN Quản lý, VLAN Khách, VLAN Server) đảm bảo rằng nếu một kẻ tấn công xâm nhập vào một phân đoạn mạng (ví dụ: mạng VLAN Khách), chúng sẽ không thể truy cập vào các tài nguyên của các VLAN khác. Kỹ thuật này giúp cách ly dữ liệu nhạy cảm.

Quản lý Người dùng Linh hoạt

Người quản trị có thể dễ dàng thêm, xóa hoặc di chuyển người dùng sang VLAN mới chỉ bằng cách thay đổi cấu hình cổng Switch mà không cần thay đổi hệ thống cáp. Tính linh hoạt này giúp tiết kiệm thời gian và chi phí bảo trì.

Hiệu suất Chi phí cao

So với việc mua nhiều Switch vật lý hoặc Router để phân đoạn mạng, việc sử dụng VLAN trên một Switch có khả năng Layer 2/Layer 3 duy nhất mang lại hiệu quả kinh tế cao hơn nhiều.

Nhược điểm và thách thức của VLAN

Việc triển khai VLAN mang lại những lợi ích nhưng cũng đi kèm với một số thách thức

Phức tạp trong Cấu hình và Quản lý

Với số lượng VLAN lớn (ví dụ: trên 50 VLAN), việc quản lý các VLAN ID, các cổng Access Port và các cổng Trunk Port trên nhiều Switch có thể trở nên phức tạp và dễ gây ra lỗi cấu hình nếu không có quy trình rõ ràng.

Yêu cầu Thiết bị Hỗ trợ

Để sử dụng VLAN, bạn bắt buộc phải có các thiết bị Switch hỗ trợ tiêu chuẩn IEEE 802.1Q (Managed Switch). Các loại Switch cơ bản (Unmanaged Switch) không thể thực hiện chức năng VLAN Tagging.

Single Point of Failure (Điểm lỗi Đơn lẻ)

Nếu một Switch chính (Core Switch) bị lỗi, tất cả các VLAN và các phân đoạn mạng kết nối với Switch đó sẽ bị ảnh hưởng. Việc thiết kế dự phòng (Redundancy) là cần thiết nhưng lại làm tăng độ phức tạp của hệ thống VLAN.

Phụ thuộc vào Thiết bị Layer 3

Để giao tiếp giữa các VLAN khác nhau, bắt buộc phải có thiết bị định tuyến (Router hoặc Switch Layer 3) thực hiện Inter-VLAN Routing. Đây là một điểm yếu của công nghệ VLAN (Layer 2).

Ứng dụng của mạng VLAN

Việc áp dụng VLAN không chỉ là một giải pháp kỹ thuật mà còn là một chiến lược kinh doanh giúp tối ưu hóa tài nguyên.

1. Phân tách Phòng ban Doanh nghiệp: Đây là ứng dụng phổ biến nhất.
   • VLAN 10: Kế toán (Dữ liệu tài chính nhạy cảm).
   • VLAN 20: Kinh doanh/Marketing (Lưu lượng truy cập Internet cao, ít nhạy cảm).
   • VLAN 30: VLAN Voice (Lưu lượng VoIP, yêu cầu độ trễ thấp).
   • VLAN 40: VLAN Khách (Guest Network, cách ly hoàn toàn với mạng nội bộ).
   • Bằng cách này, nếu lưu lượng Marketing tăng đột biến, nó sẽ không ảnh hưởng đến chất lượng cuộc gọi của phòng Kế toán.
2. Hệ thống Camera Giám sát (IP Camera): Các camera an ninh tạo ra lưu lượng video liên tục và khổng lồ. Việc đặt tất cả các camera vào một VLAN riêng biệt sẽ ngăn chặn lưu lượng này làm quá tải mạng dữ liệu chính của nhân viên.
3. Trung tâm Dữ liệu (Data Center): VLAN được sử dụng để cô lập các máy chủ theo chức năng (Web Servers, Database Servers) và áp dụng các chính sách bảo mật khác nhau cho mỗi nhóm. Điều này giúp ngăn chặn sự lây lan của các mối đe dọa.

Cách cấu hình và thiết lập mạng VLAN

Để cấu hình và thiết lập VLAN (Virtual LAN) trên switch, bạn cần thực hiện 3 bước chính: tạo VLAN, gán cổng cho VLAN và cấu hình các tính năng liên quan nếu cần. Dưới đây là hướng dẫn cơ bản nhất áp dụng cho phần lớn các dòng switch quản lý hiện nay.

Bước 1: Tạo VLAN

• Vào chế độ cấu hình switch:
  • enable
  • configure terminal
• Tạo VLAN và đặt tên (ví dụ VLAN 10 cho kế toán, VLAN 20 cho kỹ thuật):
  • vlan 10
  • name KETOAN
  • vlan 20
  • name KYTHUAT

Bước 2: Gán cổng vào VLAN

• Chọn các cổng cần gán vào từng VLAN:
  • interface range fa0/1 - 2
  • switchport mode access
  • switchport access vlan 10 (các cổng thuộc VLAN 10)
• Lặp lại thông số cho VLAN khác nếu cần:
  • interface fa0/3
  • switchport access vlan 20

Bước 3: Kiểm tra và lưu cấu hình

• Kiểm tra lại cấu hình VLAN:
  • show vlan brief
• Lưu lại cấu hình:
  • write memory hoặc copy running-config startup-config

Lưu ý thêm:

• Để các VLAN khác nhau liên lạc được với nhau, cần cấu hình Inter-VLAN Routing trên thiết bị Layer 3 (switch Layer 3 hoặc router).
• Nếu cấu hình cho môi trường thực tế, có thể cần phân loại thêm các dạng port (access/trunk), gán voice VLAN cho điện thoại IP hoặc cấu hình VLAN trên các router khác như Mikrotik, TP-Link với các bước tương tự về logic.

Cấu hình cụ thể có thể sẽ khác đôi chút tùy thiết bị, nhưng nguyên tắc trình tự thao tác tương tự cho mọi hãng switch quản lý.

So sánh sự khác nhau giữa mạng LAN và VLAN

Mặc dù có tên gọi tương đồng, mạng LAN và VLAN đại diện cho hai cấp độ phân đoạn mạng khác nhau. InterData sẽ giúp bạn hiểu rõ sự khác biệt giúp bạn biết khi nào nên sử dụng giải pháp nào.

Đặc điểm	Mạng LAN Truyền Thống (Flat LAN)	Mạng VLAN (Virtual LAN)
Phân đoạn	Vật lý	Logic
Broadcast Domain	Duy nhất, lớn (Bằng toàn bộ mạng LAN).	Nhiều, nhỏ hơn (Mỗi VLAN là một miền).
Vị Trí Thiết bị	Phụ thuộc vào vị trí vật lý và cáp mạng.	Độc lập với vị trí vật lý.
Bảo mật	Thấp, dễ bị tấn công nội bộ.	Cao, do khả năng cách ly lưu lượng.
Khả năng Mở rộng	Thấp, cần thêm phần cứng (Switch/Router).	Cao, chỉ cần thêm cấu hình VLAN ID.
Giao tiếp giữa các miền	Không cần định tuyến (cùng một miền).	Bắt buộc cần định tuyến Layer 3 (Inter-VLAN Routing).

VLAN là một lớp trừu tượng (abstraction layer) được thêm vào trên mạng LAN vật lý, mang lại sự linh hoạt và kiểm soát tốt hơn. Trong một hệ thống hiện đại, LAN vật lý chỉ là nền tảng, còn VLAN là công cụ tổ chức logic trên nền tảng đó. Do đó, việc hỏi VLAN là gì thực chất là hỏi về công nghệ giúp mạng LAN trở nên thông minh và hiệu quả hơn.

VLAN Tagging và Standard VLAN

Để giải quyết vấn đề làm sao để nhiều VLAN có thể truyền qua cùng một đường dây cáp (Trunk), các tổ chức đã phát triển cơ chế VLAN Tagging.

Chuẩn IEEE 802.1Q là gì?

IEEE 802.1Q là tiêu chuẩn công nghiệp phổ biến nhất để thực hiện VLAN Tagging.

VLAN Tagging (Đóng gói VLAN) là quá trình Switch thêm một trường thông tin (Tag) vào Frame Ethernet khi nó truyền qua cổng Trunk Port. Trường này chứa VLAN ID để Switch nhận biết (receiving switch) biết Frame này thuộc về VLAN nào.

Cấu trúc của Tag 802.1Q là một trường 4-byte được chèn vào Frame Ethernet giữa địa chỉ nguồn (Source MAC) và trường Length/Type. Trường 4-byte này bao gồm các phần:

1. TPID (Tag Protocol Identifier): Luôn là 0x8100, báo hiệu rằng đây là một Frame có chứa Tag 802.1Q.
2. TCI (Tag Control Information): Bao gồm:
   • Priority (3 bit): Dùng cho chất lượng dịch vụ (QoS), được gọi là CoS (Class of Service). Rất quan trọng cho VLAN Voice.
   • CFI (Canonical Format Indicator – 1 bit): Dùng để tương thích giữa các loại mạng.
   • VLAN ID (12 bit): Xác định VLAN mà Frame này thuộc về.

Khi Switch gửi Frame qua Trunk Port, nó sẽ thêm Tag 802.1Q vào. Khi Frame đến Switch nhận, Switch này sẽ kiểm tra Tag, xử lý Frame theo VLAN ID và xóa Tag ra khỏi Frame trước khi gửi Frame đó ra Access Port tới máy trạm cuối.

Native VLAN là gì?

Native VLAN là một khái niệm quan trọng liên quan đến chuẩn 802.1Q.

Native VLAN là VLAN duy nhất mà lưu lượng của nó được truyền qua cổng Trunk Port dưới dạng Untagged (không được gắn Tag 802.1Q).

Thông thường, VLAN ID 1 (Default VLAN) được sử dụng làm Native VLAN mặc định trên các Switch.

Tác dụng của Native VLAN:

• Tương thích ngược: Cho phép giao tiếp với các thiết bị mạng cũ không hỗ trợ VLAN Tagging (không hiểu chuẩn 802.1Q).
• Quản lý: Lưu lượng điều khiển của Switch (ví dụ: CDP, VTP) thường được gửi qua Native VLAN dưới dạng Untagged.

Lưu ý Bảo mật: Việc cấu hình Native VLAN khác với VLAN mặc định (ID 1) là một biện pháp bảo mật được khuyến nghị. Nếu kẻ tấn công gửi lưu lượng Untagged vào Trunk Port, nó sẽ tự động được gán vào Native VLAN, có thể dẫn đến VLAN Hopping nếu Native VLAN không được kiểm soát.

Câu hỏi thường gặp về mạng VLAN (FAQs)

Phần này sẽ giải đáp các thắc mắc thường gặp của sinh viên và kỹ thuật viên mới về VLAN.

VLAN Voice là gì?

VLAN Voice là một loại VLAN được thiết kế đặc biệt để mang lưu lượng thoại (Voice over IP – VoIP). Nó hoạt động bằng cách tách biệt lưu lượng thoại khỏi lưu lượng dữ liệu thông thường.

Tầm quan trọng: Lưu lượng thoại rất nhạy cảm với độ trễ và mất gói (loss). Bằng cách đặt lưu lượng thoại vào VLAN Voice riêng, người quản trị có thể áp dụng chính sách QoS (Quality of Service) cao nhất (sử dụng trường Priority trong Tag 802.1Q) để đảm bảo các gói thoại luôn được ưu tiên xử lý, mang lại chất lượng cuộc gọi ổn định và rõ ràng.

Một cổng Switch kết nối với điện thoại IP thường được cấu hình để hỗ trợ cả VLAN Voice (cho điện thoại) và một VLAN dữ liệu (cho máy tính kết nối qua điện thoại).

VLAN và Subnet khác nhau như thế nào?

Đây là câu hỏi thường gây nhầm lẫn. Cả hai đều nhằm mục đích phân đoạn mạng, nhưng ở các tầng khác nhau:

• VLAN: Hoạt động ở Layer 2 (Data Link). Nó chia nhỏ miền quảng bá (Broadcast Domain) và nhóm các thiết bị logic lại với nhau.
• Subnet (Subnetwork): Hoạt động ở Layer 3 (Network). Nó chia nhỏ dải địa chỉ IP (Network Address) thành các mạng con logic nhỏ hơn.

Mối quan hệ: Mỗi VLAN cần phải tương ứng với DUY NHẤT một Subnet. Nếu hai thiết bị thuộc cùng một VLAN nhưng lại sử dụng địa chỉ IP thuộc hai Subnet khác nhau, chúng vẫn không thể giao tiếp trực tiếp được. Ngược lại, nếu hai thiết bị thuộc hai VLAN khác nhau nhưng lại cùng Subnet, chúng vẫn bị cách ly ở Layer 2. Tóm lại: VLAN cách ly lưu lượng quảng bá, Subnet cách ly địa chỉ IP.

VLAN là một công nghệ cốt lõi và không thể thiếu trong mọi kiến trúc mạng hiện đại. Việc nắm vững VLAN là gì, từ khái niệm mạng LAN ảo cơ bản, cách hoạt động phức tạp của chuẩn 802.1Q, vai trò của Trunk Port và Access Port, cho đến các bước hướng dẫn cấu hình VLAN trên thiết bị Switch Cisco, sẽ giúp bạn quản trị hệ thống mạng hiệu quả hơn.

VLAN mang lại lợi ích kép: vừa tối ưu hiệu suất bằng cách thu nhỏ Broadcast Domain, vừa tăng cường bảo mật mạng bằng cách cách ly các nhóm người dùng. Với sự hỗ trợ của các tiêu chuẩn như IEEE 802.1Q, VLAN không chỉ đơn thuần là phân đoạn mạng mà là nền tảng cho việc quản lý chất lượng dịch vụ (QoS) cho các dịch vụ nhạy cảm như VLAN Voice.