Trong kiến trúc mạng Ethernet truyền thống, việc lựa chọn thiết bị trung tâm đóng vai trò quyết định đến hiệu năng và tính bảo mật của toàn bộ hệ thống. Hiểu rõ cách phân biệt hub và switch không chỉ là kiến thức nền tảng cho chứng chỉ CCNA mà còn là yêu cầu bắt buộc để quản trị viên hệ thống tối ưu hóa luồng dữ liệu. Bài viết này sẽ phân loại chi tiết các đặc tính kỹ thuật từ Layer 1 đến Layer 2 của mô hình OSI.
Bản chất vận hành của Network Hub tại tầng Vật lý (Layer 1)
Hub, hay còn được gọi là bộ tập trung (concentrator), hoạt động hoàn toàn dựa trên các quy tắc vật lý của tín hiệu điện. Khi một khung dữ liệu (frame) đi vào một cổng của Hub, thiết bị này không thực hiện bất kỳ thao tác kiểm tra địa chỉ đích nào. Thay vào đó, Hub thực hiện cơ chế “Electrical Broadcast” – sao chép nguyên trạng các bit tín hiệu và gửi chúng ra tất cả các cổng còn lại.
Hub
Về mặt logic, Hub tạo ra một phân đoạn mạng chia sẻ (shared medium). Tại đây, tất cả các thiết bị kết nối vào Hub đều nằm trong cùng một Collision Domain (miền xung đột). Theo tiêu chuẩn IEEE 802.3, Hub sử dụng cơ chế CSMA/CD (Carrier Sense Multiple Access with Collision Detection) để quản lý việc truyền tin. Khi hai thiết bị truyền dữ liệu đồng thời, hiện tượng xung đột sẽ xảy ra, buộc các thiết bị phải dừng lại và chờ một khoảng thời gian ngẫu nhiên (back-off timer) trước khi truyền lại. Đây là lý do chính khiến hiệu năng của Hub giảm sút nghiêm trọng khi số lượng máy trạm tăng lên. Việc phân biệt hub và switch bắt đầu từ khả năng xử lý miền xung đột này.
Cơ chế chuyển mạch thông minh của Switch tại tầng Liên kết dữ liệu (Layer 2)
Khác với Hub, Switch (bộ chuyển mạch) là một thiết bị thông minh hoạt động tại Layer 2 của mô hình OSI. Sức mạnh core của Switch nằm ở bảng CAM (Content Addressable Memory), hay còn gọi là bảng địa chỉ MAC. Khi một frame đi vào cổng, Switch sẽ đọc địa chỉ MAC nguồn để cập nhật vào bảng CAM và kiểm tra địa chỉ MAC đích để đưa ra quyết định chuyển tiếp (forwarding decision).
Switch
Switch thực hiện việc chia nhỏ các miền xung đột. Mỗi cổng trên một Switch hoạt động như một miền xung đột độc lập. Điều này cho phép các thiết bị hoạt động ở chế độ Full-Duplex (song công toàn phần), nghĩa là có thể gửi và nhận dữ liệu cùng một lúc mà không sợ xảy ra va chạm tín hiệu. Để thực hiện được điều này, Switch sử dụng các chip chuyên dụng tích hợp ASIC (Application-Specific Integrated Circuit) để xử lý dữ liệu ở tốc độ phần cứng, giảm thiểu độ trễ tối đa so với việc xử lý bằng phần mềm. Đây là điểm mấu chốt khi chúng ta phân biệt hub và switch trong các môi trường yêu cầu băng thông cao như Data Center.
Bảng đối chiếu thông số kỹ thuật để phân biệt hub và switch
Để giúp các kỹ sư mạng có cái nhìn tổng quan nhất, dưới đây là bảng so sánh định lượng và định tính giữa hai loại thiết bị này dựa trên các tiêu chuẩn mạng quốc tế:
| Tiêu chuẩn so sánh | Network Hub (Passive/Active) | Network Switch (Managed/Unmanaged) |
|---|---|---|
| Tầng OSI | Layer 1 (Physical Layer) | Layer 2 (Data Link) hoặc Layer 3 |
| Đơn vị dữ liệu | Bits (Tín hiệu điện) | Frames (L2) hoặc Packets (L3) |
| Miền xung đột | Một miền xung đột duy nhất cho tất cả cổng | Mỗi cổng là một miền xung đột riêng biệt |
| Miền quảng bá | Một miền quảng bá (Broadcast Domain) | Một miền quảng bá (trừ khi chia VLAN) |
| Chế độ truyền dẫn | Half-Duplex (Bán song công) | Full-Duplex (Song công toàn phần) |
| Quản lý địa chỉ | Không có (Blind Forwarding) | Học địa chỉ MAC và lưu vào bảng CAM |
| Băng thông | Chia sẻ (Shared Bandwidth) | Chuyên dụng cho mỗi cổng (Dedicated) |
| Tính thông minh | Thiết bị thụ động, không có cấu hình | Thiết bị chủ động, hỗ trợ quản lý (VLAN, STP) |
Việc thấu hiểu bảng phân biệt hub và switch giúp bạn tránh được các lỗi thiết kế topology sơ đẳng, ví dụ như việc sử dụng Hub trong các hệ thống PoE hoặc các mạng yêu cầu độ trễ thấp (VoIP, Video Streaming).
Chế độ truyền dẫn và tác động đến thông lượng thực tế
Khi nghiên cứu sâu về cách phân biệt hub và switch, chúng ta không thể bỏ qua khái niệm “Throughput”. Đối với một Hub 100Mbps có 24 cổng, nếu tất cả các máy trạm cùng truyền dữ liệu, băng thông thực tế mỗi máy nhận được sẽ bị chia nhỏ và trừ đi phần tiêu tốn cho việc xử lý xung đột. Ngược lại, một Switch 100Mbps có khả năng cung cấp tốc độ 100Mbps đồng thời trên mỗi liên kết nhờ cơ chế lưu trữ và chuyển tiếp (Store-and-Forward).
Switch hiện đại hỗ trợ ba phương thức chuyển mạch chính:
- Store-and-Forward: Switch nhận toàn bộ frame, kiểm tra lỗi CRC trước khi gửi đi. Đây là cách an toàn nhất nhưng độ trễ cao nhất.
- Cut-Through: Switch bắt đầu gửi ngay sau khi đọc được địa chỉ MAC đích. Độ trễ thấp nhưng có thể truyền cả frame bị lỗi.
- Fragment-Free: Biến thể của Cut-Through, kiểm tra 64 byte đầu tiên để đảm bảo không có xung đột trước khi chuyển tiếp.
Phân tích rủi ro bảo mật: Yếu tố YMYL trong quản trị mạng
Trong quản trị an ninh mạng, phân biệt hub và switch là ranh giới giữa một mạng an toàn và một mạng dễ bị tổn thương bởi các cuộc tấn công “Eavesdropping” (nghe lén).
Do Hub phát tán dữ liệu đến mọi cổng, bất kỳ ai có một phần mềm bắt gói tin (như Wireshark) đặt ở chế độ Promiscuous Mode đều có thể đọc được toàn bộ lưu lượng của các máy tính khác trong cùng Hub. Điều này vi phạm nghiêm trọng các chuẩn bảo mật như ISO 27001 hay NIST.
⚠️ Cảnh báo bảo mật: Tuyệt đối không sử dụng Hub trong các phân đoạn mạng xử lý dữ liệu nhạy cảm (thông tin thẻ tín dụng, mật khẩu, dữ liệu y tế). Kẻ tấn công có thể thực hiện sniffing mà không cần bất kỳ kỹ thuật chiếm quyền phức tạp nào.
Đối với Switch, mặc dù an toàn hơn do dữ liệu chỉ gửi đến cổng đích, nhưng quản trị viên vẫn cần cấu hình các tính năng bảo mật như Port Security hoặc DHCP Snooping để ngăn chặn các kiểu tấn công như MAC Flooding hoặc ARP Spoofing.
Hướng dẫn kiểm tra và cấu hình cơ bản trên Switch Cisco
Để minh chứng cho sự vượt trội của Switch so với Hub, chúng ta sẽ xem xét cách một Switch quản lý bảng địa chỉ vật lý. Trên các dòng Switch Cisco Catalyst (chạy IOS 15.x), bạn có thể kiểm tra khả năng “học tập” của thiết bị qua lệnh sau:
# Kiểm tra bảng địa chỉ MAC hiện tại của Switch Switch# show mac address-table # Output mẫu: Mac Address Table ------------------------------------------- Vlan Mac Address Type Ports ---- ----------- ---------- ----- 1 001a.a223.b145 DYNAMIC Fa0/1 1 001a.a223.b146 DYNAMIC Fa0/2 Total Mac Addresses for this criterion: 2Nếu là một Hub, lệnh này hoàn toàn không tồn tại vì Hub “mù” với các địa chỉ lớp 2. Để nâng cao tính bảo mật mà Hub không bao giờ làm được, ta có thể giới hạn số lượng địa chỉ MAC trên một cổng:
Switch(config)# interface FastEthernet 0/1 Switch(config-if)# switchport mode access Switch(config-if)# switchport port-security Switch(config-if)# switchport port-security maximum 1 Switch(config-if)# switchport port-security violation shutdownLệnh trên sẽ khóa cổng Fa0/1 nếu phát hiện một thiết bị thứ hai cắm vào qua một Hub gắn thêm, một kỹ thuật quan trọng trong việc phân biệt hub và switch về mặt quản trị.
Kinh nghiệm thực tế: Khi nào Hub vẫn còn giá trị sử dụng?
Dù Switch đã chiếm lĩnh 99% thị trường, nhưng trong kho công cụ của một sysadmin lâu năm, một chiếc Hub cũ vẫn có giá trị trong các kịch bản Troubleshoot đặc biệt.
Khi bạn cần phân tích lưu lượng mạng giữa hai thiết bị mà Switch không hỗ trợ tính năng SPAN (Switched Port Analyzer) hoặc Mirroring, việc chèn một Hub vào giữa sẽ giúp bạn “mirror” toàn bộ dữ liệu ra máy tính chạy Wireshark một cách vật lý. Tuy nhiên, cần lưu ý rằng việc này sẽ ép liên kết chạy ở chế độ Half-Duplex, có thể làm sai lệch kết quả phân tích nếu lỗi liên quan đến timing hoặc hiệu năng cao. Hiện nay, các thiết bị Network Tap chuyên dụng đã thay thế hoàn toàn vai trò này của Hub với độ chính xác cao hơn theo tiêu chuẩn RFC 2544.
Lỗi phổ biến nhất khi triển khai mạng văn phòng nhỏ là hiện tượng “vòng lặp” (Loop). Switch có giao thức Spanning Tree Protocol (STP) theo chuẩn IEEE 802.1D để tự động chặn các cổng gây loop, trong khi Hub sẽ dẫn đến một cơn bão quảng bá (Broadcast Storm) làm sập toàn bộ hệ thống trong vài giây. Đây là điểm phân biệt hub và switch quan trọng nhất khi xử lý sự cố mạng.
Việc nắm vững kỹ năng phân biệt hub và switch giúp bạn xây dựng hạ tầng mạng ổn định và bảo mật hơn. Switch không chỉ cung cấp tốc độ cao mà còn là lớp phòng thủ đầu tiên thông qua việc tách biệt các miền xung đột và quản lý truy cập. Để tiếp tục tối ưu hệ thống, bạn nên tìm hiểu thêm về cách cấu hình VLAN để chia nhỏ miền quảng bá trên Switch.
Cập nhật lần cuối 04/03/2026 by Hiếu IT
