Switch mạng Lớp 2 và Lớp 3. Chọn Managed Switch Layer 2 hay Layer 3?

Switch mạng hay bộ chuyển mạch Ethernet là một phần cơ bản của bất kỳ mạng nào, vì vậy điều quan trọng là bạn hiểu vai trò bộ chia mạng này trong một hệ thống mạng để có lựa chọn phù hợp. Và để hiểu rõ nhất sự khác biệt giữa thiết bị chuyển mạch Lớp 2 và thiết bị chuyển mạch Lớp 3, bạn cũng cần biết sự khác biệt giữa Lớp 2 và Lớp 3 trong mô hình mạng OSI.

Lớp 2 (Layer 2) và Lớp 3 (Layer 3) trong mô hình OSI

Mô hình mạng OSI xác định một số “lớp” mạng. Lớp 2 của mô hình OSI được gọi là lớp liên kết dữ liệu. Giao thức Lớp 2 mà bạn có thể quen thuộc nhất là Ethernet. Các thiết bị trong mạng Ethernet được xác định bằng địa chỉ MAC (điều khiển truy cập phương tiện), địa chỉ này thường được mã hóa cứng cho một thiết bị cụ thể và thường không thay đổi.

Lớp 3 là lớp mạng và giao thức của nó là Giao thức Internet hoặc IP. Các thiết bị trong mạng IP được xác định bằng địa chỉ IP, địa chỉ này có thể được gán động và có thể thay đổi theo thời gian. Theo truyền thống, thiết bị mạng được liên kết nhiều nhất với Lớp 3 là bộ định tuyến, cho phép bạn kết nối các thiết bị với các mạng IP khác nhau.

Switch mạng lớp 2 (Layer 2 Switch)

Switch PoE Layer 2

Thiết bị chuyển mạch Ethernet Switch là một trong những bộ điều hướng lưu lượng trên mạng và theo truyền thống hoạt động ở Lớp 2. Chúng cho phép kết nối nhiều thiết bị trong một mạng LAN đồng thời giảm miền xung đột bằng cách sử dụng chuyển mạch gói. Bằng cách kiểm tra nội dung của tiêu đề gói, một bộ chuyển mạch xây dựng một bảng địa chỉ MAC và các cổng vật lý tương ứng của chúng trên bộ chuyển mạch để đưa ra quyết định một cách thông minh về việc định hướng các gói tin trong tương lai. Sau đó, khi một gói đến bộ chuyển mạch, bộ chuyển mạch sẽ kiểm tra tiêu đề của gói tin để xác định đích, tham khảo bảng địa chỉ MAC với các cổng vật lý tương ứng của chúng và đưa ra quyết định về cổng vật lý nào để gửi gói tin đó đi.

VLAN là gì?

Các thiết bị chuyển mạch có thể phức tạp hơn một chút khi bạn sử dụng VLAN (mạng LAN ảo). VLAN cho phép bạn tách các thành phần của một thiết bị vật lý thành các mạng LAN ảo khác nhau, về cơ bản là tách một mạng thiết bị được kết nối vật lý thành nhiều mạng logic không thể giao tiếp trực tiếp với nhau. VLAN hỗ trợ phân đoạn mạng giúp việc thiết kế mạng tốt hơn và giúp các dịch vụ hoạt động bảo mật hơn, tránh được xung đột.

Switch mạng lớp 3 (Layer 3 Switch)

Để hai thiết bị giao tiếp qua mạng doanh nghiệp hoặc mạng gia đình, chúng cần phải có cả địa chỉ IP, được liên kết với Lớp 3 (lớp IP) và địa chỉ MAC, được liên kết với Lớp 2 (lớp Ethernet). Trong các mạng kế thừa, được xây dựng trước khi có các thiết bị chuyển mạch thông minh có khả năng hỗ trợ VLAN, cách duy nhất cho hai thiết bị trên mạng Ethernet lớp 2 riêng biệt là được định tuyến giữa hai mạng đó. Việc định tuyến được thực hiện bởi một thiết bị chuyển mạch Lớp 3 và là chức năng định tuyến của Switch Layer 3.

Khi công nghệ mạng phát triển và VLAN được giới thiệu, các thiết bị chuyển mạch được quản lý có khả năng kết nối hai thiết bị trên các mạng Ethernet riêng biệt. Trong khi điều này làm giảm nhu cầu có các bộ chuyển mạch vật lý khác nhau cho mỗi mạng Ethernet, các thiết bị được kết nối với hai VLAN riêng biệt vẫn cần giao tiếp thông qua thiết bị Lớp 3, thiết bị này trong hầu hết các mạng là bộ định tuyến.

Switch Lớp 3 này hoạt động ở cả Lớp 2 và Lớp 3, cho phép các thiết bị kết nối với các VLAN khác nhau giao tiếp với nhau mà không cần thông qua bộ định tuyến chuyên dụng. Điều quan trọng cần lưu ý là lưu lượng truy cập vẫn đang được định tuyến, vì đây là thuật ngữ mô tả thông tin được truyền giữa các mạng ở Lớp 3. Việc định tuyến chỉ được thực hiện bởi bộ chuyển mạch Ethernet Switch thay vì bộ định tuyến chuyên dụng.

Vậy điều này có nghĩa là tất cả các thiết bị chuyển mạch Lớp 3 đều thực hiện định tuyến? Không chính xác vì chỉ khi cấu hình Switch Layer 3 đó để định tuyến lưu lượng giữa các VLAN nếu đó là điều bạn muốn. Bạn cũng có thể cấu hình Switch mạng lớp 3 chỉ hoạt động ở cấu hình Lớp 2. Với chức năng của hầu hết các Switch mạng có tính năng quản lý hiện nay, việc đặt Layer 3 Switch hoạt động như một thiết bị mạng Lớp 3 là một tùy chọn.

Vậy điều gì sẽ xảy ra khi một thiết bị chuyển mạch Lớp 3 nhận được một gói tin từ một thiết bị đầu cuối? Khi kiểm tra tiêu đề gói, nếu gói đó được chuyển tới một VLAN khác, thì Switch mạng Lớp 3 sẽ “nâng” gói lên lớp định tuyến. Sau đó, một quyết định được đưa ra ở lớp định tuyến Lớp 3 về nơi gửi gói tin, bộ chuyển mạch tham khảo bảng chuyển tiếp địa chỉ MAC để quyết định cổng nào sẽ gửi gói tin đi.

Khi nào thì nên dùng Managed Switch Layer 3?

Switch Layer 3

Đề xuất về việc nên sử dụng Switch mạng ở Lớp 2 hay Lớp 3 một phần phụ thuộc vào độ phức tạp của mạng LAN cũng như các yêu cầu bảo mật của mạng mà bạn đang quản lý. Khi thiết kế cấu trúc liên kết mạng của bạn, hãy xem xét một số điểm sau:

  • Mạng có cần nhiều hơn một VLAN không? Chuyển mạch lớp 3 rất hữu ích khi bạn có nhiều hơn một VLAN cần giao tiếp với nhau.
  • Mạng của bạn có hàng chục, hàng trăm hay hàng nghìn người dùng không? Khi quy mô mạng của bạn phát triển, bạn sẽ cần nhiều nút chuyển để kết nối thực tế với tất cả người dùng. Trong trường hợp này, bạn có thể thấy mình cần kết hợp giữa thiết bị chuyển mạch Lớp 2 và thiết bị Lớp 3 (bộ chuyển mạch, bộ định tuyến chuyên dụng hoặc tường lửa) để thực hiện các chức năng Lớp 3.
  • Chính sách bảo mật của bạn có yêu cầu đặt các quy tắc kiểm soát truy cập giữa các thiết bị trên các mạng khác nhau hoặc thực hiện kiểm tra gói sâu về lưu lượng giữa các mạng không? Nếu vậy, có một tường lửa thực hiện chức năng Lớp 3 có thể phù hợp hơn.
  • Bạn có kế hoạch quản lý cơ sở hạ tầng mạng của mình như thế nào? Với sự ra đời của thiết bị chuyển mạch Lớp 3, có thể giảm số lượng thiết bị mạng trên mạng của bạn, điều này có thể đơn giản hóa một số công việc quản lý thiết bị, bao gồm những thứ như bản vá và cập nhật chính sách.

Vậy còn cần Router lớp 3 nữa không?

Với tất cả những gì đã nói về thiết bị chuyển mạch Lớp 3, liệu các bộ định tuyến chuyên dụng có phải là dĩ vãng? Trong hầu hết các mạng vừa và nhỏ, không còn cần một bộ định tuyến dành riêng cho giao tiếp nội bộ văn phòng.

Ví dụ: nếu bạn đặt người dùng của mình trên một VLAN riêng biệt với cơ sở hạ tầng mạng như máy chủ, thì việc định tuyến lưu lượng giữa người dùng và máy chủ có thể được thực hiện trên Switch Lớp 3 hoặc tường lửa Firewall, trường hợp này không cần bộ định tuyến chuyên dụng.

Tuy nhiên các bộ định tuyến chuyên dụng vẫn có một vai trò quan trọng trong nhiều mạng kinh doanh, đặc biệt là đối với giao tiếp giữa mạng bên ngoài WAN với mạng cục bộ LAN. Trường hợp này là kết nối giữa mạng nội bộ LAN với Internet được cung cấp bởi ISP, và đây là lúc các bộ định tuyến cần được sử dụng.