VLAN VÀ Q-IN-Q

Các thuật ngữ VLAN và Q-in-Q là phổ biến trong công nghệ Ethernet. Mặc dù cả hai khái niệm này đều có lợi cho mạng Ethernet, nhưng điều quan trọng là phải hiểu những điều cơ bản để hiểu rõ hơn những lợi thế của chúng. Bài viết này định nghĩa các thuật ngữ này, mô tả lợi ích của chúng và cung cấp các ví dụ cụ thể về cách Q-in-Q và VLAN được sử dụng.

1. Q-in-Q là gì?

            Q-in-Q là một thuật ngữ ngành không chính thức đề cập đến việc tăng gấp đôi IEEE 802.1Q. Mặc dù vậy, thông thường hơn, Q-in-Q còn được gọi là mạng cục bộ ảo (VLAN) stacking hoặc double-tagging.

            Trong những ngày đầu của mạng, mọi thứ phải được kết nối vật lý với nhau để trở thành một phần của cùng một mạng. Thật không may, đôi khi trong các tòa nhà lớn hơn với nhiều tầng, việc đưa những người ở tầng mười kết nối với mạng vật lý giống như những người ở tầng hai trở thành một đề xuất đắt giá. Hãy tưởng tượng chi phí để di chuyển tất cả mọi người từ tầng này sang tầng khác chỉ để sử dụng cùng một mạng cục bộ (LAN)!

            Với sự ra đời của IEEE 802.1Q, các VLAN đã ra đời. Các mạng ảo này cung cấp một giải pháp mạng mới có thể cung cấp QoS do kế hoạch ưu tiên và các giải pháp tiết kiệm chi phí cho các doanh nghiệp. Với VLAN, không còn cần thiết phải di chuyển xung quanh nhân viên văn phòng để kết nối họ với cùng một mạng với các đối tác của họ ở các tầng khác nhau.

            Với sự trợ giúp của một số thiết bị chuyển mạch Ethernet, các nhân viên ở tầng mười có thể nhận được tất cả lưu lượng truy cập của họ được gắn thẻ với cùng một ID VLAN giống như các nhân viên ở tầng hai. Phương pháp này cho phép họ ở trên cùng một mạng "ảo" và do đó loại bỏ chi phí di chuyển đắt đỏ.

            Tóm lại, VLAN là một nhóm các máy tính trên một hoặc nhiều mạng LAN được cấu hình để chúng có thể nói chuyện với nhau như thể chúng được gắn vào cùng một dây. Sự thật thực sự là các máy tính này thực sự nằm rải rác trên các phân đoạn mạng LAN khác nhau, vì các VLAN dựa trên các kết nối logic thay vì kết nối vật lý.

2. Lợi ích của VLAN

  • Hiệu suất tốt hơn mạng định tuyến: Mạng sử dụng công nghệ VLAN là mạng chuyển mạch và do đó sẽ hoạt động tốt hơn mạng được định tuyến, chủ yếu là do chi phí định tuyến được yêu cầu. Trong mạng chuyển mạch, khi sử dụng liên kết chia sẻ, kích thước của mỗi VLAN có thể giảm xuống, dẫn đến ít xung đột hơn vì mỗi VLAN là một miền xung đột độc lập đối với lớp mạng có liên quan. Hơn nữa, cũng có thể nhóm một mạng LAN lớn dựa trên một số logic thành các VLAN nhỏ hơn và giảm lưu lượng phát sóng nói chung vì mỗi chương trình phát sóng sẽ chỉ được gửi đến VLAN có liên quan.
  • Quản lý mạng dễ dàng hơn: Việc cấu hình các mạng lớn bằng công nghệ VLAN tương đối dễ dàng. Ngay cả khi các mạng được trải rộng trên các khoảng cách địa lý lớn, quản trị viên vẫn có thể quản lý toàn bộ mạng toàn cầu từ một vị trí duy nhất; tức là nơi chuyển mạch chính được thực hiện. Ngoài ra, một VLAN yêu cầu rất ít chi phí nếu nó sử dụng các cổng, vì điều này làm giảm gánh nặng quản lý hơn nữa đối với một số mạng.
  • Độc lập lớp vật lý: VLAN không phụ thuộc vào cấu trúc liên kết vật lý và phương tiện mà mạng được kết nối qua đó. Có thể sử dụng công nghệ VLAN qua một mạng bao gồm thậm chí các phương tiện vật lý khác nhau và ở cấp độ người dùng, điều này sẽ hoàn toàn minh bạch. Ngoài ra, mạng có thể trải dài trên một khoảng cách vật lý lớn và thậm chí đi qua đám mây ATM trong khi vẫn trong suốt đối với người dùng của cùng một VLAN, có thể được truy cập từ các quốc gia khác nhau trên toàn cầu.
  • Bảo mật tốt hơn: VLAN cung cấp khả năng bảo mật vốn có cho mạng bằng cách chỉ phân phối các khung trong các VLAN xác định (khi gửi các chương trình phát sóng) và cho người nhận cụ thể trong VLAN xác định (khi gửi một khung thông thường). Điều này làm cho việc phát hiện lưu lượng truy cập qua switch khó hơn nhiều vì điều này sẽ yêu cầu định vị cổng cụ thể chính xác, điều này cho phép tăng cường bảo mật. Hơn nữa, khi phân chia người dùng theo VLAN, có thể thực hiện phân chia theo chính sách bảo mật và chỉ cung cấp dữ liệu nhạy cảm cho người dùng trên một VLAN nhất định mà không để lộ thông tin cho toàn bộ mạng.
  • Chi phí: Sử dụng mạng chuyển mạch với VLAN rẻ hơn so với việc tạo một mạng định tuyến với các bộ định tuyến đắt tiền vì bộ định tuyến có giá cao hơn so với các bộ chuyển mạch nói chung.

3. Q-in-Q - Ưu điểm và ví dụ

            Sử dụng Q-in-Q (tức là VLAN stacking) nhà cung cấp dịch vụ có thể chỉ định nhà cung cấp dịch vụ (SP-VLAN) khác nhau cho lưu lượng khách hàng khác nhau. Điều này đảm bảo sự tách biệt giữa lưu lượng truy cập của mỗi khách hàng trong mạng nhà cung cấp dịch vụ. Sau đó, các VLAN của khách hàng được di chuyển một cách minh bạch bên trong mạng của nhà cung cấp dịch vụ. Các VLAN của khách hàng ban đầu được SP-VLAN đóng gói, cho phép dịch vụ LAN trong suốt (TLS).

            Ví dụ như trong Hình 1, trụ sở chính của công ty A muốn gửi thông tin đến văn phòng chi nhánh của nó, chúng tôi sẽ gọi là văn phòng chi nhánh AA. Mặc dù thực tế là cả hai địa điểm cách xa nhau 1000 dặm, nhưng chúng có một điểm chung; nghĩa là, cùng một ID VLAN. Cả A và AA đều sử dụng VLAN ID là 100; đây được gọi là VLAN cạnh khách hàng (CE-VLAN).

            Để nhận thông tin từ A đến AA, lưu lượng truy cập sẽ phải được chuyển vào đường trục của nhà cung cấp dịch vụ để vận chuyển dữ liệu từ đầu đến cuối. Điều này thường sẽ không phải là một vấn đề; tuy nhiên, tình huống này thực sự gây ra rủi ro về bảo mật. Thật không may, nhà cung cấp dịch vụ có một khách hàng khác, người mà chúng tôi sẽ gọi trụ sở công ty là D và người này cũng đang cố gắng gửi dữ liệu đến văn phòng chi nhánh của họ, mà chúng tôi sẽ gọi là DD. Trụ sở chính của công ty D cũng sử dụng cùng một VLAN ID là 100. Vì cả hai khách hàng đang sử dụng cùng một VLAN ID, nên khả năng lưu lượng truy cập bị trộn lẫn với nhau có thể làm cho tất cả các giao dịch không an toàn.

            Cách dễ nhất để nhà cung cấp dịch vụ đảm bảo an ninh cho khách hàng là đóng gói VLAN gốc từ A và AA với ID VLAN thứ hai là 32. Đây được gọi là SP-VLAN. Đối với D và DD, nhà cung cấp dịch vụ sẽ sử dụng SP-VLAN thứ hai là 48. SP-VLAN được thêm vào khi dữ liệu đi vào mạng của nhà cung cấp dịch vụ và sau đó bị xóa khi thoát.

            Với sự trợ giúp của IEEE 802.1ad mới được phê chuẩn, các nhà cung cấp dịch vụ hiện có thêm khả năng giữ lại tất cả các VLAN của khách hàng với tất cả các vấn đề bảo mật đã được giải quyết.

Hình 1: Ví dụ về Q-in-Q (802.1ad)

4. Thẻ VLAN trong khung Ethernet

            Thẻ VLAN là một thẻ hai byte được sử dụng để xác định lưu lượng lưu thông trên VLAN; về cơ bản nó chỉ ra điểm xuất phát và điểm đến của quá trình truyền khung. Ba bit đầu tiên của thẻ VLAN cho biết mức độ ưu tiên của lưu lượng được bao gồm trong gói. Điều này cho phép một số đảm bảo QoS cơ bản, đảm bảo rằng dữ liệu quan trọng có thể truyền qua mạng một cách nhanh chóng với độ trễ ít nhất có thể. Giá trị của trường này có thể được tạo ra ở trạm cuối và cũng được cập nhật trên mọi công tắc (nhận biết VLAN) trên đường đi.

            Bit thứ tư là chỉ báo định dạng chuẩn (CFI), được sử dụng chủ yếu cho thông tin định tuyến nguồn 802.3.

            12 bit cuối cùng bao gồm mã định danh VLAN (VID), cho phép tạo 4094 VLAN (VID = 0 và 4096 được dành riêng).

Hình 2: Thẻ VLAN trong khung Ethernet

            Khung Ethernet với Q-in-Q trông giống như một khung được gắn thẻ VLAN, ngoại trừ việc nó có hai thẻ thay vì một. Trong Hình 3, được hiển thị bên dưới, bạn có thể thấy một khung Ethernet gốc, khung được gắn thẻ VLAN và khung xếp chồng lên nhau VLAN (Q-in-Q)

Hình 3: Khung Ethernet, 802.1Q và 802.1ad