Trong lĩnh vực quản trị mạng doanh nghiệp, việc hiểu rõ các chế độ cổng (Port Modes) trên Switch là kiến thức nền tảng quan trọng nhất mà bất kỳ Network Engineer nào cũng phải nắm vững. Ba chế độ cổng phổ biến nhất là Access, Trunk và Dynamic quyết định cách các gói tin (Frame) VLAN được xử lý và chuyển tiếp qua các thiết bị mạng. Bài viết này sẽ giải thích chi tiết từng chế độ, cách hoạt động, ưu nhược điểm và các tình huống áp dụng thực tế.

    VLAN Là Gì? Tại Sao Cần Phân Chia Switch Port?

    Trước khi đi sâu vào các chế độ cổng, chúng ta cần hiểu khái niệm VLAN (Virtual Local Area Network). VLAN cho phép quản trị viên mạng chia một mạng vật lý thành nhiều mạng logic độc lập, ngăn cách lưu lượng giữa các phòng ban khác nhau (ví dụ: Phòng Kế toán và Phòng Nhân sự không thể truy cập lẫn nhau ngay cả khi chúng kết nối chung một Switch vật lý). Khi một Frame đi vào Switch, nó sẽ được gắn thẻ (Tag) với một VLAN ID cụ thể. Cách Switch xử lý thẻ VLAN này phụ thuộc vào chế độ cổng mà Frame đó đi qua.

    Chế Độ Access Port

    Access Port là chế độ cổng phổ biến nhất, được sử dụng để kết nối Switch với các thiết bị đầu cuối (End Devices) như máy tính, máy in, camera IP hoặc máy chủ. Một Access Port chỉ thuộc về duy nhất một VLAN, được gọi là Native VLAN.

    Khi Switch nhận một Frame từ Access Port, nếu Frame không có thẻ (Untagged Frame), Switch sẽ gắn thẻ VLAN ID tương ứng với Native VLAN của cổng đó trước khi chuyển tiếp Frame đến các cổng khác. Ngược lại, khi Switch gửi Frame đến Access Port, nó sẽ loại bỏ thẻ VLAN (Strip Tag) để thiết bị đầu cuối có thể đọc được gói tin. Điều này đảm bảo các thiết bị như máy tính của nhân viên không cần cấu hình VLAN phức tạp.

    Cấu hình Access Port trên Cisco IOS

    Switch(config)# interface gigabitEthernet 0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# end

    Khi nào nên dùng: Kết nối máy tính nhân viên, máy in, Access Point Wi-Fi, camera IP. Mỗi cổng chỉ phục vụ một VLAN duy nhất.

    Chế Độ Trunk Port

    Trunk Port là chế độ cổng được thiết kế để kết nối giữa các Switch với nhau, hoặc giữa Switch với Router (mô hình Router-on-a-Stick), hoặc giữa Switch với Máy chủ ảo hóa (Hypervisor) chạy nhiều máy ảo thuộc các VLAN khác nhau. Một Trunk Port có thể mang lưu lượng của nhiều VLAN cùng lúc.

    Không giống như Access Port, Trunk Port không loại bỏ thẻ VLAN khi gửi Frame. Thay vào đó, tất cả các Frame di chuyển qua Trunk Port đều được giữ nguyên thẻ VLAN ID. Để phân biệt các Frame giữa các VLAN trên cùng một sợi cáp vật lý, Trunk Port sử dụng giao thức IEEE 802.1Q (Dot1q) để chèn một thẻ gồm 4 byte vào giữa địa chỉ MAC nguồn và trường EtherType của Frame Ethernet. Thẻ này chứa VLAN ID 12 bit, cho phép hỗ trợ lên đến 4094 VLAN.

    Cấu hình Trunk Port trên Cisco IOS

    Switch(config)# interface gigabitEthernet 0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# switchport trunk native vlan 99
Switch(config-if)# end

    Lưu ý Native VLAN: Trên Trunk Port, Native VLAN là VLAN dành cho các Frame không được gắn thẻ (Untagged Frames). Cả hai đầu Trunk phải cấu hình Native VLAN giống nhau, nếu không sẽ xảy ra lỗi Native VLAN Mismatch, gây mất kết nối mạng.

    Chế Độ Dynamic (DTP – Dynamic Trunking Protocol)

    Dynamic Port là chế độ cổng thông minh cho phép Switch tự động thương lượng (Negotiate) với thiết bị ở đầu kia để xác định chế độ hoạt động (Access hay Trunk) mà không cần cấu hình thủ công. Cơ chế này được gọi là DTP (Dynamic Trunking Protocol), một giao thức độc quyền của Cisco.

    Có hai chế độ Dynamic chính:

    • Dynamic Auto: Cổng sẵn sàng trở thành Trunk nếu thiết bị ở đầu kia yêu cầu (chủ động bật mode trunk hoặc dynamic desirable). Nếu đầu kia ở mode access, cổng sẽ tự động trở thành Access.
    • Dynamic Desirable: Cổng chủ động gửi tín hiệu DTP để rủ rê thiết bị đầu kia chuyển sang chế độ Trunk. Nếu đầu kia ở mode access hoặc dynamic auto, cổng sẽ trở thành Trunk. Đây là mode mặc định trên hầu hết các Switch Cisco đời cũ.

    Rủi ro bảo mật của Dynamic Mode

    Mặc dù Dynamic Port có vẻ tiện lợi, các chuyên gia bảo mật mạng khuyến cáo không nên sử dụng chế độ này trong môi trường Production. Nguyên nhân là do kẻ tấn công có thể kết nối một thiết bị giả mạo vào cổng Dynamic, gửi tín hiệu DTP để ép Switch chuyển sang chế độ Trunk. Nếu thành công, hacker có thể nhìn thấy (Sniff) toàn bộ lưu lượng của tất cả các VLAN trên đường truyền, gọi là tấn công VLAN Hopping. Đây là lỗ hổng bảo mật nghiêm trọng đã tồn tại từ nhiều năm và vẫn chưa có bản vá từ phía Cisco.

    Cấu Trúc Thẻ 802.1Q (Dot1q) Hoạt Động Như Thế Nào?

    Khi một Frame được gửi qua Trunk Port, Switch sẽ chèn một thẻ 802.1Q vào giữa trường Địa chỉ MAC nguồn và trường Loại EtherType. Thẻ này bao gồm:

    • Tag Protocol Identifier (TPID): 2 byte, giá trị cố định là 0x8100 để báo hiệu đây là Frame có thẻ.
    • Tag Control Information (TCI): 2 byte, bao gồm Priority Code Point (PCP) 3 bit cho QoS, Drop Eligible Indicator (DEI) 1 bit, và VLAN ID (VID) 12 bit. VLAN ID có giá trị từ 1 đến 4094, với VLAN 1 là VLAN mặc định.

    Sau khi chèn thẻ này, Switch sẽ tính toán lại giá trị Frame Check Sequence (FCS) ở cuối gói tin. Nhờ cơ chế chèn thẻ này, một sợi cáp mạng duy nhất có thể mang lưu lượng của tối đa 4094 mạng LAN ảo cùng một lúc.

    Best Practices Cho Quản Trị Viên Mạng

    • Tắt DTP trên tất cả các cổng không cần thiết: Sử dụng lệnh switchport nonegotiate để vô hiệu hóa DTP, ngăn chặn tấn công VLAN Hopping.
    • Sử dụng Native VLAN khác VLAN 1: VLAN 1 là VLAN mặc định và là mục tiêu ưa thích của tin tặc. Hãy thay đổi Native VLAN thành một VLAN không sử dụng (ví dụ: VLAN 999).
    • Shutdown các cổng không sử dụng: Đặt tất cả các cổng không kết nối vào trạng thái shutdown để ngăn chặn truy cập trái phép vào hạ tầng mạng.
    • Sử dụng BPDU Guard và PortFast: Cho các Access Port kết nối đến máy tính người dùng, bật spanning-tree portfast để loại bỏ thời gian chờ STP và bật BPDU Guard để tự động shutdown cổng nếu phát hiện Switch giả mạo.

    Kết Luận

    Việc nắm vững sự khác biệt giữa Access Port, Trunk Port và Dynamic Port là yêu cầu bắt buộc đối với bất kỳ Network Engineer nào. Trong khi Access Port phục vụ các thiết bị đầu cuối và Trunk Port kết nối hạ tầng mạng, Dynamic Port nên được tránh xa trong môi trường Production vì lý do bảo mật. Bằng cách áp dụng các biện pháp bảo mật như tắt DTP và thay đổi Native VLAN, bạn có thể bảo vệ hệ thống mạng của doanh nghiệp khỏi các cuộc tấn công VLAN Hopping nguy hiểm.

    Bài viết liên quan

    Chào các bạn mình là Quốc Hùng , mình sinh ra thuộc cung song tử ,song tử luôn khẳng định chính mình ,luôn luôn phấn đấu vượt lên phía trước ,mình sinh ra và lớn lên tại vùng đất võ cổ truyền ,đam mê của mình là coder ,ngày đi học tối về viết blog ...