VLAN là viết tắt của Virtual Local Area Network hay còn gọi là mạng LAN

ảo. Một VLAN được định nghĩa là một nhóm logic các thiết bị mạng và
được thiết lập dựa trên các yếu tố như chức năng, bộ phận, ứng dụng…
của công ty

Mô hình mạng không có VLAN là một flat network vì nó chỉ hoạt động chuyển mạch ở lớp 2.
Một flat network là một miền broadcast, mỗi gói broadcast từ một host nào đều đến được tất cả các
host còn lại trong mạng. Mỗi port trong switch là một miền collision, vì vậy người ta sử dụng switch
để chia nhỏ miền collision, tuy nhiên nó vẫn không ngăn được miền broadcast. Ngoài ra nó còn có
các vấn đề như:

• Vấn đề về băng thông: trong một số trường hợp một mạng Campus ở lớp 2 có thể mở rộng
thêm một số building nữa, hay số user tăng lên thì nhu cầu sử dụng băng thông cũng tăng, do đó
băng thông cũng như khả năng thực thi của mạng sẽ giảm.
• Vấn đề về bảo mật: bởi vì user nào cũng có thể thấy các user khác trong cùng một flat network,
do đó rất khó để bảo mật.
• Vấn đề về cân bằng tải: trong flat network ta không thể thực hiện truyền trên nhiều đường đi,
vì lúc đó mạng rất dễ bị loop, tạo nên “broadcast storm” ảnh hưởng đến băng thông của đường
truyền. Do đó không thể chia tải (còn gọi là cân bằng tải).

Để giải quyết các vấn đề trên, người ta đưa ra giải pháp VLAN. VLAN (Virtual Local Area Network)
được định nghĩa là một nhóm logic các thiết bị mạng, và được thiết lập dựa trên các yếu tố như chức
năng, bộ phận, ứng dụng… của công ty. Mỗi VLAN là một mạng con logic được tạo ra trên
switch, còn gọi là segment hay miền broadcast.

Hiện nay, VLAN đóng một vai trò rất quan trọng trong công nghệ mạng LAN. Để
thấy rõ được lợi ích của VLAN, chúng ta hãy xét trường hợp sau :

Giả sử một công ty có 3 bộ phận là: Engineering, Marketing, Accounting, mỗi bộ

phận trên lại trải ra trên 3 tầng. Để kết nối các máy tính trong một bộ phận với
nhau thì ta có thể lắp cho mỗi tầng một switch. Điều đó có nghĩa là mỗi tầng phải
dùng 3 switch cho 3 bộ phận, nên để kết nối 3 tầng trong công ty cần phải dùng
tới 9 switch. Rõ ràng cách làm trên là rất tốn kém mà lại không thể tận dụng
được hết số cổng (port) vốn có của một switch. Chính vì lẽ đó, giải pháp VLAN
ra đời nhằm giải quyết vấn đề trên một cách đơn giản mà vẫn tiết kiệm được tài
nguyên.
Như hình vẽ trên ta thấy mỗi tầng của công ty chỉ cần dùng một switch, và switch
này được chia VLAN. Các máy tính ở bộ phận kỹ sư (Engineering) thì sẽ được
gán vào VLAN Engineering, các PC ở các bộ phận khác cũng được gán vào các
VLAN tương ứng là Marketing và kế toán (Accounting). Cách làm trên giúp ta có
thể tiết kiệm tối đa số switch phải sử dụng đồng thời tận dụng được hết số cổng
(port) sẵn có của switch.

Phân loại VLAN

• Port - based VLAN: là cách cấu hình VLAN đơn giản và phổ biến. Mỗi
cổng của Switch được gắn với một VLAN xác định (mặc định là VLAN 1),
do vậy bất cứ thiết bị host nào gắn vào cổng đó đều thuộc một VLAN nào
đó.
• MAC address based VLAN: Cách cấu hình này ít được sử dụng do có
nhiều bất tiện trong việc quản lý. Mỗi địa chỉ MAC được đánh dấu với một
VLAN xác định.
• Protocol – based VLAN: Cách cấu hình này gần giống như MAC
Address based, nhưng sử dụng một địa chỉ logic hay địa chỉ IP thay thế
cho địa chỉ MAC. Cách cấu hình không còn thông dụng nhờ sử dụng giao
thức DHCP.

Lợi ích của VLAN

• Tiết kiệm băng thông của hệ thống mạng:

VLAN chia mạng LAN thành nhiều đoạn (segment) nhỏ, mỗi đoạn đó là
một vùng quảng bá (broadcast domain). Khi có gói tin quảng bá
(broadcast), nó sẽ được truyền duy nhất trong VLAN tương ứng. Do đó
việc chia VLAN giúp tiết kiệm băng thông của hệ thống mạng.
• Tăng khả năng bảo mật:
Do các thiết bị ở các VLAN khác nhau không thể truy nhập vào nhau (trừ
 khi ta sử dụng router nối giữa các VLAN). Như trong ví dụ trên, các máy
tính trong VLAN kế toán (Accounting) chỉ có thể liên lạc được với nhau.
Máy ở VLAN kế toán không thể kết nối được với máy tính ở VLAN kỹ sư
(Engineering).
• Dễ dàng thêm hay bớt máy tính vào VLAN:
Việc thêm một máy tính vào VLAN rất đơn giản, chỉ cần cấu hình cổng
cho máy đó vào VLAN mong muốn.
• Giúp mạng có tính linh động cao:
VLAN có thể dễ dàng di chuyển các thiết bị. Giả sử trong ví dụ trên, sau
một thời gian sử dụng công ty quyết định để mỗi bộ phận ở một tầng riêng
biệt. Với VLAN, ta chỉ cần cấu hình lại các cổng switch rồi đặt chúng vào
các VLAN theo yêu cầu.

VLAN có thể được cấu hình tĩnh hay động. Trong cấu hình tĩnh, người quản trị
mạng phải cấu hình cho từng cổng của mỗi switch. Sau đó, gán cho nó vào một
VLAN nào đó. Trong cấu hình động mỗi cổng của switch có thể tự cấu hình
VLAN cho mình dựa vào địa chỉ MAC của thiết bị được kết nối vào.

>

1. Các kiểu thành viên của VLAN (VLAN Membership)

Khi VLAN được cung cấp ở switch lớp Access, thì các đầu cuối người dùng phải có một vài phương
pháp để lấy các thành viên đến nó. Có 2 kiểu tồn tại trên Cisco Catalyst Switch đó là:
• Static VLAN.
• Dynamic VLAN.

Static VLAN
Static VLAN cung cấp kiểu thành viên dựa vào port, nghĩa là các port của switch được gán
cho các VLAN riêng biệt. Các thiết bị người dùng đầu cuối trở thành thành viên trong VLAN dựa
vào port vật lý của switch kết nối đến nó. Không có thiết lập quan hệ đối với thiết bị đầu cuối, mà
nó tự động thừa nhận kết nối VLAN khi nó kết nối đến một port. Thông thường, thiết bị đầu cuối
thậm chí không nhận thức được sự tồn tại của VLAN.
Người quản trị mạng sẽ cấu hình các port của switch gán cho các VLAN bằng tay, nên được gọi là
trạng thái tĩnh. Mỗi port nhận một port VLAN ID với một số VLAN. Các port trên một switch có thể
được gán và nhóm thành nhiều VLAN. Mặc dù hai thiết bị cùng kết nối đến một switch, nhưng nếu
VLAN ID của nó khác nhau thì lưu lượng giữa chúng sẽ không qua nhau. Để thực hiện chức năng
này, ta phải sử dụng thiết bị lớp 3 để định tuyến các gói hoặc thiết bị mở rộng lớp 2 để làm cầu nối
các gói giữa hai VLAN.
Kiểu thành viên Static VLAN thường được quản lý trong phần cứng với mạch tích hợp ứng dụng đặc
biệt ASIC (Application Specific Intergrated Circuit) trong switch. Kiểu này cung cấp khả năng hoạt
động tốt vì tất cả việc ánh xạ các port được làm ở mức phần cứng vì vậy không cần có bảng truy tìm
phức tạp.
Dynamic VLAN
Dynamic VLAN cung cấp thành viên dựa trên địa chỉ MAC của thiết bị người dùng đầu cuối.
Khi một thiết bị kết nối đến một port của switch, switch phải truy vấn đến cơ sở dữ liệu để thiết lập
thành viên VLAN. Người quản trị mạng phải gán địa chỉ MAC của user vào một VLAN trong cơ sở dữ
liệu của VMPS (VLAN Membership Policy Server). Hình 2.2 biểu diễn Dynamic VLAN với bảng địa chỉ
MAC
Với Cisco Switch, dynamic LAN được tạo và quản lý bằng công cụ quản lý mạng như Cisco Work
2000. Dynamic VLAN cho phép tính mềm dẻo và tính di động cho người dùng đầu cuối.

2. Triển khai VLAN

Để thực thi VLAN, ta phải xem xét số thành viên của VLAN, thông thường số VLAN sẽ phụ thuộc
vào kiểu lưu lượng, kiểu ứng dụng, phân đoạn các nhóm làm viện phổ biến và các yêu cầu
quản trị mạng.

Môt nhân tố quan trong cần xem xét là mối quan hệ giữa các VLAN và kế hoạch sử dụng
địa chỉ IP. Cisco giới thiệu một sự tương thích 1-1 giữa VLAN và các mạng con, nghĩa là nếu một
mạng con với một mask 24 bit được sử dụng cho một VLAN, như vậy có nhiều nhất 254 thiết bị
trong VLAN và các VLAN không mở rộng miền lớp 2 đến Distribution Switch. Trong trường hợp khác,
VLAN không đi đến Core của mạng, và khối Switch khác. Ý tưởng này giữ cho miền broadcast và lưu
lượng không cần thiết ra khỏi khối Core.
Các VLAN được chia trong khối Switch bằng hai cách cơ bản sau:
• End-to-end VLA
• Nocal VLAN

End-to-end VLAN
End-to-end VLAN còn được gọi là Campus-wide VLAN, nối toàn bộ switch của một mạng. Nó được
xác định để hỗ trợ tính mềm dẻo và tính di động cực đại cho thiết bị đầu cuối. Các user được gán
vào VLAN mà không quan tâm đến vị trí vật lý. Vì một user di chuyển quanh Campus, thì nó cũng
thuộc VLAN đó, nghĩa là mỗi VLAN phải có hiệu lực (available)ở lớp Access trong mỗi khối Switch.
End-to-end VLAN nên nhóm các user theo nhu cầu phổ biến. Tất cả user trong một VLAN có cùng
kiểu luồng lưu lượng theo luật 80/20. Luật này có nghĩa là 80% lưu lượng là của user trong nhóm
cục bộ, trong khi 20% đến một tài nguyên từ xa trong mạng Campus. Mặc dù 20% của lưu lượng
trong VLAN qua Core của mạng, nhưng end-to-end VLAN làm nó có thể thực hiện tất cả lưu lượng
bên trong VLAN qua Core.
Vì tất cả VLAN phải có hiệu lực ở mỗi switch lớp Access, nên VLAN trunking phải được sử dụng để
mạng tất cả các VLAN giữa switch lớp Access và lớp Distribution.

Chú ý: end-to-end VLAN không đựơc đề nghị trong mạng Enterprise, nếu không có một lý do hợp
lý. Lưu lượng broadcast đựơc mạng trên một VLAN từ một đầu cuối của mạng đến một đầu cuối
khác, nên bão broadcast (broadcast storm) hoặc lặp vòng cầu nối lớp 2 cũng có thể truyền bá qua
phạm vi của tài nguyên. Khi đó, việc xử lý sự cố trở nên quá khó, và sự mạo hiểm sử dụng end-to-
end VLAN làm ảnh hưởng đến lợi ích.
Local VLAN

Vì hầu hết mạng Enterprise hướng tới luật 20/80, nên end-to-end VLAN trở nên cồng kềnh và khó
duy trì. Luật 20/80 có nghĩa là 20% lưu lượng cục bộ, còn 80% đến một tài nguyên từ xa qua lớp
Core. Các người dùng đầu cuối đòi hỏi truy cập vào tài nguyên trung tâm bên ngoài VLAN của nó.
Các uer phải qua Core của mạng thường xuyên hơn. Các VLAN được gán chứa các nhóm user dựa
trên đường biên vật lý, liên quan đến lượng lưu lượng rời VLAN.
Kích thước VLAN vật lý là từ một switch trong phòng dây cáp, đến toàn bộ một building, điều này
cho phép chức năng lớp 3 trong mạng Campus điều khiển tải lưu lượng trong VLAN một cách thông
minh.Do đó cung cấp tính lợi ích cực đại bằng cách sử dụng nhiều con đường đến đích, tính mở rộng
cực đại bằng cách giữ VLAN bên trong một khối Switch và tính quản lý cực đại.<!-- / message -->

VLAN Trunk

Ở lớp Access, các thiết bị đầu cuối kết nối đến các port của switch tạo thành kết nối đến VLAN. Các
thiết bị gắn vào này không nhận thức được cấu trúc VLAN, và đơn giản là gắn vào một đoạn mạng
vật lý bình thường. Việc gửi thông tin từ liên kết truy cập trên một VLAN đến VLAN khác không được
thực hiện nếu không có sự can thiệp của thiết bị lớp 3 (có thể là router lớp 3 hoặc bridge lớp 2 bên
ngoài).

Chú ý là một port của switch hỗ trợ nhiều hơn một mạng con cho thiết bị gắn vào nó. Ví dụ như một
Ethernet Hub được kết nối vào port của switch. Một thiết bị người dùng trên Hub phải được cấu hình
là 192.168.1.1/24, trong khi thiết bị khác được gán là 192.168.17.1/24. Mặc dù các mạng con này
kề liền nhau, và truyền thông trên một switch duy nhất, nhưng nó không tách rời VLAN. Port của
switch hỗ trợ một VLAN, nhưng nhiều mạng con có thể tồn tại trên một VLAN.
Đường trunk một kết nối vật lý và logic giữa hai switch để truyền dữ liệu. Đây là một kênh truyền
giữa hai điểm và hai điểm này thường là các switch, là trung tâm của cấu trúc mạng hình sao. Một
liên kết trunk (đường chính) có thể hỗ trợ nhiều hơn một VLAN qua một port của switch. Các liên
kết trunk tốt nhất khi switch kết nối đến các switch khác hoặc đến router. Một liên kết trunk không
được gán cho một VLAN riêng biệt. Thay vì một, nhiều hoặc tất cả các VLAN được truyền giữa các
swtich sử dụng một liên kết trunk vật lý.

Ta có thể kết nối hai switch với liên kết vật lý riêng biệt đối với mỗi VLAN như hình 2.3

Vì VLAN được thêm vào một mạng, nên số liên kết có thể tăng nhanh chóng. Để sử dụng giao tiếp
vật lý và cáp hiệu quả hơn người ta dùng trunk. Hình 2.4 biểu diễn làm thế nào một trunk có thể
thay thế nhiều liên kết VLAN riêng biệt.

Cisco hỗ trợ trunk trên liên kết switch của Fast Ethernet và Gigabit Ethernet giống như kết hợp các
liên kết kênh Fast và Gigabit Ethernet. Để phân biệt lưu lượng giữa các VLAN khác nhau trên một
trunk. switch phải có cách nhận dạng mỗi frame với VLAN thích hợp. Phần sau sẽ thảo luận về các
phương pháp nhận dạng này.

2.2.1 Nhận dạng các frame VLAN

Trong một mạng Campus có rất nhiều VLAN trên nhiều switch, các switch này nối với nhau qua các
đường trunk, do đó các gói được truyền trên đường trunk phải có thông tin nhận dạng về VLAN mà
nó thuộc về. Như vậy người ta sẽ dùng VLAN ID để gán vào các frame, rồi mới truyền đi trên trunk.
Mỗi switch sẽ kiểm tra VLAN ID để xác định frame này thuộc về VLAN nào, và chuyển qua những
port thuộc VLAN đó. Sau đây ta xem xét hoạt động chuyển frame từ máy B sang máy Y trong VLAN
3 trong hình 2.5.

• Đầu tiên B gửi frame đến switch 1, switch 1 sẽ nhận frame và kiểm tra trong bảng địa chỉ MAC
của nó, thì nó biết được đây là frame của VLAN 3 và đích đến kế tiếp là qua switch 2. Switch 1 sẽ
thêm VLAN ID của VLAN 3 và gửi qua đường trunk kết nối đến switch 2.
• Switch 2 nhận frame, nó kiểm tra VLAN ID và biết được frame này đến VLAN 3, đồng thời đích đến
kế tiếp là phải qua switch 3. Switch 2 sẽ chuyển frame qua đường trunk nối đến switch 3.
• Khi switch 3 nhận frame, nó kiểm tra frame, và tách VLAN ID ra khỏi frame và gửi frame đến cho
Y. Y nhận frame biết được nó được gửi từ B (dựa vào địa chỉ MAC), nhưng nó không biết nó thuộc về
VLAN nào, chỉ có switch 3 mới biết thông tin đó.
Có 2 cách nhận dạng VLAN ID là:
• Cisco Inter - Switch Link.
• IEEE 802.1Q.

Cisco Inter - Switch Link

ISL là giao thức đóng gói frame đặc trưng của Cisco cho kết nối nhiều switch. Nó được dùng chính
trong môi trường Ethernet, chỉ hỗ trợ trên các router và switch của Cisco. Khi một frame muốn đi
qua đường trunk đến switch hay router khác thì ISL sẽ thêm 26 byte header và 4 byte trailer vào
frame. Trong đó VLAN ID chiếm 10 bit, còn phần trailer là CRC để đảm bảo tính chính xác của dữ
liệu.
Thông tin thẻ được thêm vào đầu và cuối mỗi frame, nên ISL còn được gọi là đánh thẻ kép. ISL có
thể chạy trong môi trường point-to-point, và có thể hỗ trợ tối đa 1024 VLAN (do VLAN ID chiếm 10
bit).
Hình 2.6 biểu diễn frame Ethernet được đóng gói và chuyển tiếp ra liên kết trunk. Vì thông tin thẻ
được thêm vào ở đầu và cuối frame nên đôi khi ISL được đề cập như là thẻ đôi. Nếu một frame được
định trước cho một liên kết truy cập, thì việc đóng gói ISL (cả phần header lẫn trailer) không được
ghi lại vào trong frame trước khi truyền. Nó chỉ giữ thông tin ISL cho liên kết trunk và thiết bị có thể
hiểu giao thức.

Chú ý: nhận dạng VLAN bằng ISL hoặc đóng gói trunk không còn hỗ trợ tất cả Cisco Catalyst
Switch. Vì vậy ta nên biết rõ nó và so sánh với phương pháp IEEE 802.1Q

IEEE 802.1Q:
IEEE 802.1Q là một chuẩn công nghiệp dùng để nhận dạng VLAN được truyền qua đường trunk, nó
hoạt động trên môi trường Ethernet và là một chuẩn mở.
Là giao thức dùng dán nhãn frame khi truyền frame trên đường trunk giữa hai switch hay giữa
switch và router, việc dán nhãn frame được thực hiện bằng cách thêm thông tin VLAN ID vào phần
giữa phần header trước khi frame được truyền lên đường trunk như hình 2.7, đây còn được gọi là
phương pháp dán nhãn đơn hay dán nhãn nội. IEEE 802.1Q có thể hỗ trợ tối đa là 4095 VLAN.

Trong đó:
• Thẻ 802.1Q có 4 byte gồm có các phần như sau:
o 802.1Q TPID (Tag Protocol IDentifier): có độ dài 16 bit, có giá trị cố định là 0x8100. Dùng nhận
dạng frame đóng gói theo chuẩn IEEE 802.1Q.
o Priority: Độ ưu tiên, có 8 mức ưu tiên (0 -> 7), mặc định là 0.
o CFI (Canonical Format Indicator): Luôn đặt giá trị 0 cho Ethernet Switch để tương thích với mạng
Token Ring. Nếu CFI có giá trị là 1 thì frame sẽ không được chuyển đi như port không gắn thêm tag.
• Destination address (DA) - 6 byte: địa chỉ MAC đích.
• Source addresses (SA)- 6 byte: địa chỉ MAC nguồn.
• Length/Type- 2 bytes: chỉ định độ dài của frame hay kiểu giao thức sử dụng ở lớp trên.
• Data: là một dãy gồm n byte (42 <= n <= 1496) .Chiều dài frame tổng cộng tối thiểu là 64 bytes
( khi n = 42 byte).
• Frame check sequence (FCS)- 4 byte: chứa mã sửa sai CRC 32-bit.
Chú ý: các frame có kích thước quá khổ được quy định trong các chuẩn khác nhau, để chuyển tiếp
đúng cách, các Catalyst switch sử dụng phần cứng riêng với phương pháp đóng gói ISL. Trong
trường hợp đóng gói 802.1Q, các switch tuân theo chuẩn IEEE 802.3ac, chuẩn này mở rộng chiều
dài frame đến 1522 byte.

2.2.2 Giao thức trunk động (Dynamic Trunking Protocol - DTP)

Ta có thể cấu hình bằng tay các liên kết trunk trên Catalyst Switch theo kiểu ISL hoặc IEEE 802.1Q.
Thêm vào đó, Cisco đã thực hiện quyền sở hữu, và giao thức point-to-point được gọi là giao thức
trunk động DTP (Dynamic Trunking Protocol) để dàn xếp kiểu trunk phổ biến giữa hai switch. Sự
dàn xếp kiểm này soát việc đóng gói (ISL hoặc 802.1Q) cũng như kết nối trở thành trunk cho tất cả.
Điều này cho phép sử dụng kết nối mà không cần có quá nhiều sự cấu hình bằng tay hay quản trị.
Việc sử dụng DTP sẽ đựơc giải thích ở phần sau.
Chú ý: DTP bi vô hiệu nếu một switch có kết nối trunk đến một router vì router không thực thi giao
thức DTP. Một liên kết trunk chỉ được dàn xếp giữa hai switch nếu cả hai switch thuộc cùng một
miền quản lý của giao thức VTP (VLAN Trunk Protocol), hoặc nếu một hoặc cả hai không định nghĩa
miền VTP. VTP sẽ được thảo luận ở phần 2.3. Nếu hai switch có miền VTP và trunk giữa cúng khác
nhau, thì ta phải thiết lập kết nối trunk là kiểu "on" hoặc kiểu "nonegotiate", việc này sẽ ảnh hưởng
đến trunk được thiết lập.<!-- / message -->

Khái quát về VTP (Vlan Trunking Protocol)

Trong môi trường mạng Campus thường gồm có nhiều switch kết nối bên trong, nên việc cấu hình
và quản lý một số lượng lớn switch, VLAN và VLAN trunk phải được điều khiển ra ngoài nhanh. Cisco
đã triển khai một phương pháp quản lý VLAN qua mạng Campus đó là VLAN Trunking
Protocol - VTP.
VTP là một giao thức quảng bá cho phép duy trì cấu hình thống nhất trên một miền quản
trị. Sử dụng gói trunk lớp 2 để quản lý sự thêm xóa và đặt tên cho VLAN trong một miền quản tri
nhất định. Thông điệp VTP được đóng gói trong frame của ISL hay 802.1Q và được truyền trên các
đường trunk. Đồng thời, VTP cho phép tập trung thông tin về sự thay đổi từ tất cả các switch trong
một hệ thống mạng. Bất kỳ switch nào tham gia vào sự trao đổi VTP đều có thể nhận biết và sử
dụng bất cứ VLAN nào mà VTP quản lý. Sau đây ta sẽ nói đến hoạt động của giao thức VTP.

2.3.1 Miền VTP

VTP được sắp sếp trong miền quản lý, hoặc khu vực với các nhu cầu thông thường của VLAN. Một
switch có thể chỉ thuộc một miền VTP, và chia sẻ thông tin VLAN với các switch khác trong miền.
Tuy nhiên các switch trong các miền VTP khác nhau không chia sẻ thông tin VTP.
Các switch trong một miền VTP quảng bá một vài thuộc tính đến các miền lân cận như miền quản lý
VTP, số VTP, VLAN, và các tham số đặc trưng của VLAN. Khi một VLAN được thêm vào một switch
trong một miền quản lý, thì các switch khác được cho biết về VLAN mới này qua việc quảng bá VTP.
Tất cả switch trong một miền đều có thể sẵn sàng nhận lưu lượng trên cổng trunk sử dụng VLAN
mới.

2.3.2 Các chế độ (mode) VTP

Để tham gia vào miền quản lý VTP, mỗi switch phải được cấu hình để hoạt động ở chế độ nào. Chế
độ VTP sẽ xác định quá trình chuyển mạch và quảng bá thông tin VTP như thế nào. Ta có các chế độ
sau:
• Chế độ Server: các server VTP sẽ điều khiển việc tạo VLAN và thay đổi miền của nó. Tất cả
thông tin VTP đều được quảng bá đến các switch trong miền, và các switch khác sẽ nhận đồng thời.
Mặc định là một switch hoạt động ở chế độ server. Chú ý là miền VTP phải có ít nhất một server để
tạo, thay đổi hoặc xóa và truyền thông tin VLAN.
• Chế độ Client: chế độ VTP không cho phép người quản trị tạo, thay đổi hoặc xóa bất cứ VLAN
nào thay vì lắng nghe các quảng bá VTP từ các switch khác và thay đổi cấu hình VLAN một cách
thích hợp. Đây là chế độ lắng nghe thụ động. Các thông tin VTP được chuyển tiếp ra liên kết trunk
đến các switch lân cận trong miền, vì vậy switch cũng hoạt động như là một rờ le VTP (relay).
• Chế độ transparent (trong suốt): các switch VTP trong suốt không tham gia trong VTP. Ở chế
độ trong suốt, một switch không quảng bá cấu hình VLAN của chính nó, và một switch không đồng
bộ cở sở dữ liệu VLAN của nó với thông tin quảng bá nhận được. Trong VTP phiên bản 1, switch hoạt
động ở chế độ trong suốt không chuyển tiếp thông tin quảng bá VTP nhận được đến các switch
khác, trừ khi tên miền và số phiên bản VTP của nó khớp với các switch khác. Còn trong phiên bản 2,
switch trong suốt chuyển tiếp thông tin quảng bá VTP nhận được ra cổng trunk của nó, và hoạt
động như rờ le VTP.
Chú ý: switch hoạt động ở chế độ trong suốt có thể tạo và xóa VLAN cục bộ của nó. Tuy nhiên các
thay đổi của VLAN không được truyền đến bất cứ switch nào.

2.3.3 Quảng bá VTP

Mỗi Cisco switch tham gia vào VTP phải quảng bá số VLAN (chỉ các VLAN từ 1 đến 1005), và các
tham số VLAN trên cổng trunk của nó để báo cho các switch khác trong miền quản lý. Quảng bá VTP
được gửi theo kiểu muilticast. Switch chặn các frame gửi đến địa chỉ VTP multicast và xử lý nó. Các
frame VTP được chuyển tiếp ra ngoài liên kết trunk như là một trường hợp đặc biệt.
Bởi vì tất cả switch trong miền quản lý học sự thay đổi cấu hình VLAN mới, nên một VLAN phải được
tạo và cấu hình chỉ trên một VTP server trong miền.
Mặc định, miền quản lý sử dụng quảng bá không bảo mật (không có mật khẩu). Ta có thể thêm mật
khẩu để thiết lập miền ở chế độ bảo mật. Mỗi switch trong miền phải được cấu hình với cùng mật
khẩu để tất cả switch sử dụng phương pháp mã hóa đúng thông tin thay đổi của VTP.
Quá trình quảng bá VTP bắt đầu cấu hình với số lần sửa lại là 0. Khi có sự thay đổi tiếp theo, số này
tăng lên trước khi gửi quảng bá ra ngoài. Khi swich nhận một quảng bá với số lần sửa lại lớn hơn số
lưu trữ cục bộ thì quảng bá sẽ được ghi đè lên thông tin VLAN, vì vậy thêm số 0 này vào rất quan
trọng. Số lần sửa lại VTP được lưu trữ trong NVRAM và switch không được thay đổi. Số lần sửa lại
này chỉ được khởi tạo là 0 bằng một trong cách sau:
• Thay đổi chế độ VTP của switch thành transparent, và sau đó thay đổi chế độ thành server.
• Thay đổi miền VTP của switch thành tên không có thực (miền VTP không tồn tại) và sau đó thay
đổi miền VTP thành tên cũ.
• Tắt hay mở chế độ pruning (cắt xén) trên VTP server.
Nếu số lần sửa lại VTP không được thiết lập lại 0, thì một server switch mới, phải quảng bá VLAN
không tồn tại, hoặc đã xóa. Nếu số lần sửa lớn hơn lần quảng bá liền trước, thì switch lắng nghe rồi
ghi đè lên toàn bộ sơ sở dữ liệu của VLAN với thông tin trạng thái VLAN là null hoặc bị xóa. Điều này
đề cập đến vấn đề đồng bộ VTP.
Việc quảng bá có thể bắt đầu khi yêu cầu từ switch (client-mode) muốn học về cơ sở dữ liệu VTP ở
thời điểm khởi động, và từ switch (server-mode) khi có sự thay đổi cấu hình VLAN. Việc quảng bá
VTP có thể xảy ra trong ba hình thức sau:
• Thông báo tổng kết (Summary Advertisement): các server thuộc miền VTP gửi thông báo tổng kết
300s một lần và mỗi khi có sự thay đổi sơ sở dữ liệu của VLAN. Thông tin của thông báo tổng kết
gồm có miển quản lý, phiên bản VTP, tên miền, số lần sửa lại cấu hình, đánh dấu thời gian
(timestamp), mã hóa hàm băm MD5, và số tập con của quảng bá đi theo. Đối với sự thay đổi cấu
hình VLAN, có một hoặc nhiều tập con quảng bá với nhiều dữ liệu cấu hình VLAN riêng biệt trong
thông báo tổng kết. Hình 2.8 biểu diễn format của thông báo tổng kết.
• Thông báo tập hợp con (Subset Advertisement): các server thuộc miền VTP quảng bá tập
con sau khi có sự thay đổi cấu hình VLAN. Thông báo này gồm có các thay đổi rõ ràng đã được thực
thi, như tạo hoặc xóa một VLAN, tạm ngưng hoặc kích hoạt lại một VLAN, thay đổi tên VLAN, và
thay đổi MTU của VLAN (Maximum Transmission Unit). Thông báo tập con có thể gồm có các thông
số VLAN như: trạng thái của VALN, kiểu VLAN (Ethernet hoặc Token Ring), MTU, chiều dài tên
VLAN, số VLAN, giá trị nhận dạng kết hợp với bảo mật SAID (Security Association Identifer), và tên
VLAN. Các VLAN được ghi vào thông báo tập hợp con một cách tuần tự và riêng lẻ. Hình 2.9 biểu
diễn format của thông báo tập con.

• Thông báo yêu cầu từ client: một client VTP yêu cầu thông VLAN như xác lập lại, xóa cở sở dữ
liệu của VLAN, và thay đổi thành viên miền VTP, hoặc nghe thông báo tổng kết VTP với số lần sửa
lại cao hơn số hiện tại. Sau thông báo client yêu cầu, thì các server đáp ứng bằng thông báo tổng
kết và thông báo tập con. Hình 2.10 biểu diễn format yêu cầu của thông báo client.

Các Catalyst switch (server-mode) lưu trữ thông tin VTP không dính liếu đến cấu hình switch trong
NVRAM VLAN và dữ liệu VTP được lưu trong file vlan.dat trên hệ thống file bộ nhớ Flash của switch.
Tất cả thông tin VTP như số lần cấu hình lại VTP được lưu lại khi tắt nguồn điện của switch. Switch
có thể khôi phục cầu hình VLAN từ cơ sở dữ liệu VTP sau khi nó khởi động.

2.3.4 Sự lượt bớt (pruning) VTP

Ta hãy nhớ lại là một switch chuyển tiếp các frame broadcast ra tất cả các port sẵn có trong miền
broadcast, còn các frame multicast thì được chuyển tiếp theo nghĩa thông minh hơn, nhưng cũng
cùng một kiểu. Khi witch không tìm thấy địa chỉ MAC đích trong bảng chuyển tiếp thì nó phải
chuyển frame ra tất cả các port để cố gắng tìm đến đích.
Khi chuyển tiếp frame ta tất cả các port trong miền broadcast hoặc VLAN, thì kể cả các port của
trunk nếu có VLAN. Thông thường, trong mạng có một vài switch, các liên kết trunk giữa các switch
và VTP được sử dụng để quản lý việc truyền thông tin VLAN. Điều này làm cho các liên kết trunk
giữa các switch mang lưu lượng từ tất cả VLAN.
Xem xét mạng trong hình 2.11, khi hostPC trong VLAN 3 gửi broadcast, thì Cat C chuyển tiếp ra tất
cả các port của VLAN 3, bao gồm cả liên kết trunk đến Cat A. Sau đó Cat A sẽ chuyển tiếp broadcast
đến Cat B và D trên các liên kết trunk này. Đến lượt Cat B và D chỉ chuyển broadcast trên các lên
kết truy cập được cấu hình cho VLAN 3. Nếu Cat B và D không có user nào thuộc VLAN 3, thì việc
chuyển tiếp frame broadcast đến chúng sẽ dùng hết băng thông trên liên kết trunk, và bộ xử lý tài
nguyên trong cả hai switch, chỉ có Cat B và D loại bỏ frame.

Do đó VTP pruning sẽ sử dụng hiệu quả băng thông bằng cách giảm bớt việc lưu lương
không cần thiết. Các frame broadcast hoặc các frame unicast không xác định trên một VLAN chỉ
được chuyển tiếp trên liên kết trunk nếu switch nhận trên đầu cuối của trunk có port thuộc VLAN đó.
VTP pruning là sự mở rộng trên phiên bản 1 của VTP, sử dụng kiểu message VTP bổ sung. Khi một
Catalyst Switch có một port với một VLAN, thì switch gửi quảng bá đến các switch lân cận mà có
port hoạt động trên VLAN đó. Các lân cận của nó sẽ giữ thông tin này để giải quyết nếu có lưu lượng
tràn từ một VLAN có sử dụng port trunk hay không.
Hình 2.12 biểu diễn mạng từ hình 2.11 với VTP pruning. Vì Cat B không thông báo về VLAN 3, nên
Cat A sẽ giảm bớt lưu lượng trên trunk bằng các không tràn lưu lượng VLAN 3 đến Cat B. Cat D có
thông báo về VLAN 3, nên lưu lượng được tràn đến nó.

Chú ý: Ngoài ra người ta còn sử dụng giao thức Spanning Tree để giảm lưu lượng không cần thiết
trên trunk, ta sẽ tìm hiểu phần này ở chương 3.

2.3.5 Gỡ rối (trobleshooting) VTP

Vì một lý do nào đó mà một switch không nhận đựơc thông tin cập nhật từ VTP server, thì hãy xem
xét các nguyên nhân sau:

• Switch được cấu hình theo kiểu transparent nên khi nhận các quảng bá VTP đến thì nó
không được xử lý.
• Nếu switch được cấu hình theo kiểu Client, thì nó không có chức năng như VTP server.
Trong trường hợp này, thì cấu hình thành VTP sever của chính nó.
• Xem xét tên miền được cấu hình đúng cách để so trùng với VTP server chưa?
• Xem xét phiên bản VTP tương thích với các switch trong miền VTP chưa?

Chú ý: nếu một switch mới (có thể ở chế độ client hay server) được cấu hình ở cùng một miền của
mạng chuyển mạch trước đó, và có số lần cấu hình lại cao hơn tất cả các switch hiện có trong
mạng, thì ngay sau khi switch mới này được đưa vào mạng, nó sẽ đồng bộ thông tin của nó với toàn
bộ switch trong mạng. Điều này cực kỳ nguy hiểm vì có thể dẫn đến toàn bộ mạng bị treo, vì các
thông tin VLAN đã thay đổi hoàn toàn. Để ngăn chặn điều này xảy ra thì ta sẽ thiết lập lại số lần cấu
hình của mỗi switch mới trước khi đưa vào mạng.