Khi mạng gia đình của bạn phát triển phức tạp hơn, việc nhóm các thiết bị thành các mạng LAN ảo (VLAN) trở nên vô cùng hợp lý, không chỉ từ góc độ bảo mật mà còn cả quản trị. Bạn có thể dễ dàng tách biệt các thiết bị IoT khỏi kho dữ liệu nhạy cảm, nhóm máy tính với máy in và các thiết bị mạng khác mà chúng cần truy cập, hoặc chỉ cho phép các thiết bị đó giao tiếp với nhau. Đây là một phương pháp tối ưu giúp tăng cường tính an toàn và hiệu quả cho hệ thống mạng.
Một trong những công cụ tốt nhất để thực hiện điều này là sử dụng các switch mạng được quản lý (managed network switches). Chúng cho phép bạn gắn thẻ lưu lượng VLAN cụ thể vào từng cổng, tạo mạng khách chỉ để truy cập Internet mà không thể truy cập tài nguyên cục bộ, và sử dụng nhiều tính năng VLAN tiện lợi khác. Tuy nhiên, mặc dù VLAN tương đối dễ hiểu, tôi vẫn thường mắc phải những lỗi nhỏ trong lần thử đầu tiên, dù là quên gắn thẻ cổng hay một cài đặt nào đó ở lớp truyền tải. Những lỗi này chắc chắn sẽ làm hỏng VLAN như thể một sợi cáp vật lý bị rút ra, và điều quan trọng là phải biết bắt đầu tìm kiếm từ đâu khi có sự cố. Dưới đây là 5 lỗi VLAN phổ biến nhất mà bạn có thể gặp phải và cách khắc phục chúng.
Hệ thống mạng gia đình với switch, NAS và router, minh họa cấu trúc VLAN phức tạp
1. Quên Chuyển Tiếp Lưu Lượng Multicast (mDNS)
Tầm quan trọng của mDNS trong mạng hiện đại
Tôi còn nhớ khi iTunes ra mắt lần đầu và cài đặt Bonjour, ngăn xếp khám phá mạng của Apple, vào máy tính của tôi. Nó chưa bao giờ hoạt động đúng trên Windows và làm tắc nghẽn mạng gia đình của tôi, vì vậy tôi thường gỡ cài đặt và sử dụng các chương trình khác để quản lý iPod. Ngày nay, IP multicast được sử dụng trong mọi thứ từ Windows đến macOS, điện thoại, thiết bị IoT, loa thông minh, thiết bị mạng, v.v. Nó đã trở thành một công nghệ nền tảng của nhà thông minh, và mọi thứ đều không hoạt động đúng nếu thiếu nó.
Vấn đề với các thiết bị dựa vào mDNS là nó không thể chuyển tiếp giữa hai dải IP khác nhau nếu không có sự hỗ trợ. Ngay khi bạn thiết lập VLAN và di chuyển bất kỳ thiết bị thông minh nào vào đó, mDNS sẽ hoạt động trên VLAN đó và mạng chính, nhưng không có cầu nối giữa hai mạng. Bạn sẽ cần truy cập router, tường lửa hoặc switch quản lý của mình và tìm kiếm mDNS Repeater rồi bật nó lên. Ngoài ra, bạn nên bật IGMP Snooping và thiết lập các quy tắc tường lửa để UDP 5353 được chuyển tiếp giữa các VLAN và mạng chính. Điều này đảm bảo rằng các thiết bị có thể khám phá và giao tiếp với nhau một cách hiệu quả.
Ổ cắm thông minh TCP được điều khiển qua Home Assistant, minh họa thiết bị IoT phụ thuộc mDNS trong môi trường VLAN
2. Có Switch Không Quản Lý Trên Đường Dẫn
Không phải switch nào cũng chuyển tiếp thẻ VLAN, phá vỡ công sức của bạn
Hãy tưởng tượng thế này: Bạn đã thiết lập một VLAN thứ cấp, đảm bảo bạn đã gắn thẻ các cổng trunk trên toàn bộ kiến trúc mạng của mình và cảm thấy khá hài lòng với những kỹ năng đã học được. Sau đó, bạn hết cổng để kết nối một máy tính và một thiết bị streaming trong cùng một phòng, vì vậy bạn cắm chúng vào một switch không quản lý (unmanaged switch), và cả hai thiết bị đều không kết nối với VLAN mà bạn vừa mất công xây dựng. Bạn kiểm tra kỹ để xem liệu mình đã gắn thẻ các cổng upstream chính xác là trunk (hoặc với VLAN bạn muốn chuyển tiếp), nhưng bạn vẫn không có kết nối trên máy tính hoặc thiết bị streaming.
Vấn đề ở đây là phần lớn các switch không quản lý sẽ loại bỏ các header 802.1Q, điều này khiến mọi khung dữ liệu đi qua đều bị gộp vào VLAN 1 mặc định. Đó không phải là cách bạn muốn các gói mạng của mình được gửi, và chỉ có hai giải pháp, cả hai đều yêu cầu phần cứng vật lý. Bạn có thể thêm một switch quản lý giá rẻ thay vì switch không quản lý, hoặc chạy một đường dây riêng từ router hoặc switch quản lý đến máy tính đó. Lựa chọn dễ dàng hơn rõ ràng là switch quản lý, và bạn thậm chí có thể tìm thấy những loại có PoE+ để không cần tìm ổ cắm điện gần đó.
Switch Ethernet Netgear 5 cổng không quản lý, minh họa rào cản khi triển khai VLAN trong mạng gia đình
3. Thiết Bị Client Nhận Địa Chỉ APIPA Thay Vì Subnet Mong Muốn
Nếu bạn thấy địa chỉ 169.254.x.x, bạn biết nơi để tìm
Khi thêm các thiết bị client mới vào một AP hoặc switch quản lý có gắn thẻ VLAN, một hiện tượng rất phổ biến là client nhận được địa chỉ IP trong dải 169.254.x.x hoặc một địa chỉ IP riêng tự động (APIPA) khác. Nguyên nhân tương tự như bất kỳ loại mạng nào khác: các gói khám phá DHCP của client không bao giờ đến được máy chủ, vì vậy nó không bao giờ được gán địa chỉ IP và quay về mặc định.
Điều này có thể có nghĩa là một vài điều. Thẻ VLAN (ví dụ, VLAN 10) có thể khả dụng trên SSID hoặc switch quản lý, nhưng cổng trên switch đi đến router lại thiếu thẻ VLAN 10, vì vậy các khung đó không được chuyển đến router để cấp DHCP. Nó cũng có thể có nghĩa là không còn địa chỉ IP để cấp trong dải DHCP, có thể do các thiết bị khách đã chiếm hết (vì vậy hãy thay đổi thời gian thuê DHCP thành khoảng 15 phút để khắc phục), hoặc do không đủ địa chỉ trong dải đã đặt, và việc mở rộng dải DHCP sẽ khắc phục vấn đề.
À, và một điều nữa cần kiểm tra. Các máy chủ Proxmox hoặc Docker sử dụng proxy-ARP có thể trả lời các thăm dò ARP rằng chúng quản lý một địa chỉ IP được gán cho VM hoặc container, thay vì trên các giao diện vật lý. Điều này có thể gây ra sự cố nếu pool DHCP quá nhỏ, dẫn đến việc các client tự gán dải 169.254.x.x thay vì kéo một địa chỉ IP DHCP hợp lệ.
Hệ thống dây cáp Cat6a kết nối các switch mạng, tượng trưng cho cấu hình VLAN trunking phức tạp
4. Lưu Lượng Inter-VLAN Không Hoạt Động Đúng Cách
Điều này có thể chặn tất cả lưu lượng hoặc cho phép tất cả, và đó không phải là điều bạn muốn
Tùy thuộc vào phần cứng mạng và phần mềm đang chạy trên đó, bất kỳ VLAN mới nào cũng sẽ nhận được một bộ quy tắc tường lửa mặc định. Đối với OPNsense, mặc định là chặn tất cả lưu lượng đến và đi từ VLAN đó, và bạn cần thêm các quy tắc tường lửa rõ ràng để cho phép lưu lượng, mDNS và bất kỳ gói tin nào khác mà VLAN sẽ cần. UniFi thì ngược lại (cũng như pfSense), không có quy tắc tường lửa nào được áp dụng theo mặc định, và bạn sẽ phải thêm các quy tắc rõ ràng cho lưu lượng bạn cần, sau đó đặt một quy tắc chặn tất cả để ngăn VLAN đó truy cập vào các phân đoạn mạng LAN khác của bạn. Và như mọi khi, hãy kiểm tra các cổng dọc theo các kết nối vật lý cho VLAN đó để đảm bảo chúng được gắn thẻ với VLAN(s) chính xác hoặc được đặt làm cổng trunk.
Giao diện công cụ cấu hình đám mây Zyxel Nebula hiển thị các thiết lập VLAN, minh họa quản lý quy tắc tường lửa Inter-VLAN
Mớ dây cáp mạng trong hệ thống gia đình, thể hiện sự phức tạp của việc khắc phục sự cố VLAN và tường lửa
5. VLAN Có DHCP Nhưng Không Có Kết Nối Internet
Ước gì không phải DNS, nhưng thực ra là DNS (với một cách khắc phục đơn giản)
Mạng cần một vài thứ để hoạt động cùng nhau để luồng gói tin diễn ra đúng cách, và hoàn toàn có thể thiết lập VLAN, gắn thẻ tất cả các cổng và SSID một cách chính xác, có các client kết nối đúng cách và nhận địa chỉ IP, nhưng vẫn không có kết nối Internet. Điều này thường có nghĩa là thiếu DNS hoặc NAT, vì vậy chúng ta sẽ kiểm tra tường lửa và trình phân giải DNS. Chúng ta cần các quy tắc NAT, để lưu lượng có thể đi qua tường lửa từ VLAN đến giao diện WAN, và một quy tắc khác để cổng 53 có thể vượt qua tường lửa, để lưu lượng DNS đi qua. Bạn cũng có thể cần thêm VLAN hoặc các thiết bị trên đó vào “listen list” của trình phân giải hoặc bộ chuyển tiếp DNS, để nó không loại bỏ bất kỳ truy vấn DNS nào từ VLAN đó.
Ứng dụng kiểm tra DNS trên Android hiển thị tốc độ phản hồi DNS, liên quan đến vấn đề kết nối Internet của VLAN
Chắc chắn sẽ còn nhiều thứ để khám phá với VLAN trong tương lai
Mạng gia đình của tôi ngày càng mở rộng theo từng tuần, khi tôi khám phá những thực hành tốt nhất mới và các tính năng mạng khác mà tôi chưa từng sử dụng trước đây. Hiện tại tôi chỉ có một VLAN trên các điểm truy cập không dây của mình, mặc dù chúng có khả năng hỗ trợ nhiều VLAN, mỗi cái với SSID riêng. Tôi nghĩ đó là một trong những điều tiếp theo tôi sẽ thử nghiệm, để có thể có các SSID 2.4GHz chuyên dụng cho các thiết bị IoT, một cho khách, có thể một SSID chuyên dụng cho các client hỗ trợ 6GHz và các cấu hình tiềm năng khác. Dù tôi quyết định điều gì, tôi chắc chắn sẽ làm hỏng mọi thứ thường xuyên hơn là làm chúng hoạt động (ban đầu), nhưng đó là một phần của niềm vui khi tự mình xây dựng và tối ưu hệ thống mạng.
Bạn đã từng gặp phải những lỗi VLAN nào khi cấu hình mạng gia đình? Hãy chia sẻ kinh nghiệm và cách khắc phục của bạn trong phần bình luận bên dưới, hoặc đọc thêm các bài viết khác của chúng tôi về tối ưu hóa mạng gia đình!