switch

Switch Layer 2 là gì? Kiến thức chuyên sâu cho Sysadmin

Đã đăng trên bởi Hiếu IT

Trong kiến trúc hạ tầng mạng hiện đại, việc thấu hiểu switch layer 2 là gì đóng vai trò quyết định đến khả năng thiết kế hệ thống ổn định và bảo mật. Một kỹ sư mạng thực thụ không chỉ nhìn nhận thiết bị này như một bộ chia cổng đơn thuần mà là một thực thể thông minh xử lý các gói tin ở mức phần cứng với tốc độ cực cao.

Bài viết này sẽ đi sâu vào khía cạnh kỹ thuật, từ cơ chế xử lý khung tin (frame) theo chuẩn IEEE 802.3, cách thức quản lý bảng CAM cho đến những cấu hình thực tế giúp tối ưu hóa hiệu năng và bảo mật lớp truy cập.

Nguyên lý hoạt động của Switch Layer 2 trong mô hình OSI

Để trả lời chi tiết switch layer 2 là gì, chúng ta cần tham chiếu trực tiếp vào lớp Data Link (Lớp 2) trong mô hình OSI 7 lớp. Tại đây, đơn vị dữ liệu được xử lý là Protocol Data Unit (PDU) gọi là Frame. Khác với Hub truyền thống hoạt động ở Layer 1 (Physical) chỉ biết nhân bản tín hiệu điện ra tất cả các cổng (flooding), switch lớp 2 là một thiết bị có khả năng “học” và “nhớ”.

Vai trò của lớp Data Link và Ethernet Frame

Lớp Data Link được chia thành hai phân lớp nhỏ: Logical Link Control (LLC) và Media Access Control (MAC). Thiết bị switch chủ yếu hoạt động tại phân lớp MAC. Khi một máy tính gửi dữ liệu, switch sẽ kiểm tra cấu trúc của Ethernet Frame (theo RFC 894). Frame này chứa địa chỉ MAC nguồn (Source MAC) và địa chỉ MAC đích (Destination MAC).

Mỗi địa chỉ MAC là duy nhất toàn cầu, dài 48-bit, được gán cứng bởi nhà sản xuất (OUI + Serial). Việc hiểu rõ cấu trúc này giúp quản trị viên phân tích được các sự cố liên quan đến lỗi Frame Check Sequence (FCS) khi đường truyền vật lý gặp vấn đề hoặc xung đột từ trường.

Quá trình học địa chỉ MAC và bảng CAM

Cốt lõi của switch layer 2 là gì nằm ở bảng địa chỉ MAC (MAC Address Table) hay còn gọi là CAM Table (Content Addressable Memory). Quá trình này diễn ra qua 3 bước liên hoàn:

  1. Learning: Khi nhận một frame, switch đối chiếu Source MAC với cổng nhận vào. Nếu chưa có, nó sẽ ghi đè hoặc thêm mới vào bảng CAM cùng thời gian tồn tại (aging time – mặc định thường là 300 giây trên Cisco).
  2. Forwarding/Filtering: Switch tra cứu Destination MAC trong bảng CAM. Nếu tìm thấy cổng tương ứng, nó sẽ đẩy frame duy nhất ra cổng đó (Unicast). Nếu Destination MAC trùng với cổng nhận, frame sẽ bị hủy (Filtering).
  3. Flooding: Nếu Destination MAC không có trong bảng (Unknown Unicast) hoặc là địa chỉ Broadcast (FF:FF:FF:FF:FF:FF), switch sẽ đẩy frame ra tất cả các cổng trừ cổng nhận vào.

Các đặc tính kỹ thuật quyết định hiệu năng hệ thống

Khi đánh giá một hệ thống mạng doanh nghiệp, thông số kỹ thuật của switch layer 2 là gì thường quan trọng hơn cả thương hiệu. Các tham số như Switching Capacity và Forwarding Rate quyết định thiết bị có bị nghẽn (bottleneck) khi lưu lượng tăng đột biến hay không.

Công suất chuyển mạch và Tốc độ chuyển tiếp

Switch Capacity (còn gọi là Switching Fabric) đại diện cho tổng băng thông mà bảng mạch bên trong switch có thể xử lý. Đối với một switch 24 cổng Gigabit, để đạt trạng thái Non-blocking (không tắc nghẽn), thiết bị cần có công suất: 24 cổng 1 Gbps 2 (Full Duplex) = 48 Gbps.

Forwarding Rate lại đo lường khả năng xử lý số lượng gói tin trên mỗi giây (packet per second – pps). Đây là thông số cực kỳ quan trọng đối với các luồng dữ liệu chứa nhiều gói tin kích thước nhỏ như VoIP hoặc giao dịch tài chính. Công thức chuẩn xác cho một cổng 1Gbps khi xử lý gói tin nhỏ nhất (64 bytes + 20 bytes overhead) là:
1,000,000,000 bps / (84 bytes 8 bits) = 1,488,095 pps.

Nếu một thiết bị không đạt được thông số này nhân với số lượng cổng, nó sẽ gây ra hiện tượng trễ (latency) và mất gói khi mạng tải cao.

so sánh switch layer 2 và switch layer 3so sánh switch layer 2 và switch layer 3

Công nghệ VLAN và chuẩn IEEE 802.1Q

Một khía cạnh không thể thiếu khi giải thích switch layer 2 là gì chính là Virtual LAN (VLAN). VLAN cho phép chia nhỏ một switch vật lý thành nhiều switch logic độc lập. Điều này giúp thu hẹp Broadcast Domain, tăng cường tính bảo mật và quản lý băng thông hiệu quả hơn.

Theo chuẩn IEEE 802.1Q, một “Tag” 4-byte sẽ được chèn vào Ethernet Frame để định danh VLAN ID (từ 1 đến 4094). Tuy nhiên, cần lưu ý rằng bản thân Switch Layer 2 thuần túy không thể cho phép các VLAN giao tiếp với nhau. Để làm được việc đó, bạn cần một Router hoặc Switch Layer 3 đóng vai trò làm Gateway thông qua kỹ thuật Inter-VLAN Routing.

Phân biệt Switch Layer 2 và Switch Layer 3 chi tiết

Nhiều người quản trị hệ thống mới thường nhầm lẫn giữa hai loại thiết bị này. Điểm khác biệt mấu chốt giữa Switch Layer 3 và switch layer 2 là gì nằm ở khả năng xử lý dựa trên địa chỉ IP (Layer 3) và các giao thức định toán học đường đi (Routing Protocols).

So sánh tính năng và phạm vi ứng dụng

Đặc tính Switch Layer 2 Switch Layer 3
Bảng dữ liệu MAC Address Table (CAM) CAM + IP Routing Table (FIB)
Đơn vị xử lý Frame Packet
Chức năng chính Kết nối đầu cuối, chia VLAN Định tuyến giữa các VLAN, Static/Dynamic Route
Phạm vi Access Layer (Lớp truy cập) Distribution/Core Layer (Lớp phân phối/lõi)
Bảo mật Port Security, DHCP Snooping ACL (Access Control List), Firewall cơ bản

Trong thiết kế mạng hình cây (Hierarchical Network Design), Switch Layer 2 thường đảm nhiệm vai trò Access Switch, kết nối trực tiếp với người dùng cuối như PC, Camera, IP Phone. Trong khi đó, Switch Layer 3 (Multilayer Switch) đứng ở tầng trên để điều phối lưu lượng giữa các phòng ban.

Khi nào nên ưu tiên sử dụng Switch Layer 2?

Dù Switch Layer 3 rất mạnh mẽ, nhưng việc hiểu rõ ưu thế của switch layer 2 là gì sẽ giúp tiết kiệm ngân sách đáng kể. Bạn nên chọn Layer 2 khi:

  • Hệ thống mạng quy mô nhỏ (dưới 50 user) không chia nhiều subnet.
  • Chỉ cần mở rộng số lượng cổng kết nối tại một khu vực văn phòng.
  • Cần cấp nguồn PoE cho hệ thống Camera giám sát hoặc Access Point mà không cần định tuyến phức tạp.
  • Chi phí đầu tư (CAPEX) hạn hẹp nhưng yêu cầu độ trễ thấp ở lớp vật lý.

Hướng dẫn cấu hình Switch Layer 2 thực tế

Để biến kiến thức lý thuyết về switch layer 2 là gì thành kỹ năng thực tiễn, chúng ta sẽ xem xét cấu hình trên hai dòng thiết bị phổ biến nhất hiện nay là Cisco (IOS) và MikroTik (RouterOS).

Cấu hình Access Port và Trunk Port trên Cisco IOS

Giả sử bạn cần cấu hình cổng GigabitEthernet0/1 cho máy tính kế toán (VLAN 10) và cổng GigabitEthernet0/24 làm đường truyền nối lên Switch trung tâm (Trunk).

⚠️ Cảnh báo: Việc cấu hình sai Trunk Port có thể gây mất kết nối toàn bộ hạ tầng bên dưới. Luôn kiểm tra allowed vlan để tránh hiện tượng rò rỉ dữ liệu giữa các phòng ban.

Các lệnh thực hiện (Cisco IOS 15.x):

# Truy cập chế độ cấu hình
Switch# configure terminal

# Tạo VLAN
Switch(config)# vlan 10
Switch(config-vlan)# name KE_TOAN
Switch(config-vlan)# exit

# Cấu hình Access Port cho máy tính
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# description PC-KETOAN
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# spanning-tree portfast  # Tối ưu thời gian up cổng

# Cấu hình Trunk Port nối lên Core
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# description UPLINK-TO-CORE
Switch(config-if)# switchport trunk encapsulation dot1q # Nếu switch cũ yêu cầu
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30

Thiết lập VLAN cơ bản trên MikroTik RouterOS

Trên MikroTik (phiên bản v7), việc hiểu bản chất switch layer 2 là gì được thể hiện qua Bridge VLAN Filtering. Đây là cách tiếp cận hiện đại sử dụng chip switch (hardware offloading) để đạt tốc độ dây (wire-speed).

Lệnh thực hiện (Terminal):

# Tạo một Bridge duy nhất
/interface bridge add name=bridge1 vlan-filtering=yes

# Thêm interface vào bridge
/interface bridge port
add bridge=bridge1 interface=ether1 pvid=10  # Cổng Access VLAN 10
add bridge=bridge1 interface=ether24         # Cổng Trunk

# Định nghĩa gắn tag VLAN
/interface bridge vlan
add bridge=bridge1 tagged=ether24 untagged=ether1 vlan-ids=10

Các rủi ro bảo mật và giải pháp phòng chống trên Layer 2

Rất nhiều quản trị viên bỏ qua bảo mật lớp 2 vì cho rằng tường lửa đã bảo vệ ở lớp 3. Tuy nhiên, nếu không hiểu lỗ hổng của switch layer 2 là gì, hệ thống của bạn sẽ dễ dàng bị tê liệt bởi các cuộc tấn công nội bộ.

Tấn công MAC Flooding và giải pháp Port Security

Kẻ tấn công sử dụng các công cụ như Macof để gửi hàng triệu Ethernet Frame với MAC giả mạo vào switch. Mục tiêu là làm đầy bảng CAM, buộc switch chuyển sang chế độ “Fail-open” (hoạt động như một Hub) để kẻ tấn công có thể “nhìn thấy” toàn bộ lưu lượng trong mạng (Sniffing).

Giải pháp chính là Port Security. Bạn có thể giới hạn số lượng địa chỉ MAC được phép trên một cổng:

interface GigabitEthernet0/1
 switchport port-security
 switchport port-security maximum 2
 switchport port-security violation shutdown

Lệnh trên đảm bảo nếu có thiết bị lạ cắm vào hoặc kẻ tấn công chạy script lấp đầy MAC, cổng sẽ tự động bị khóa (shutdown).

Nguy cơ từ DHCP Spoofing và kỹ thuật DHCP Snooping

Một rủi ro khác thường gặp khi vận hành switch layer 2 là gì chính là sự xuất hiện của DHCP Server giả mạo (Rogue DHCP). Kẻ tấn công cấp IP giả để điều hướng lưu lượng người dùng đi qua máy của chúng (Man-in-the-Middle).

Kỹ thuật DHCP Snooping cho phép switch phân biệt cổng nào là “Trusted” (nối với Server thật) và cổng nào là “Untrusted” (nối với người dùng). Mọi gói tin DHCP Offer xuất phát từ cổng Untrusted sẽ bị switch ngăn chặn ngay lập tức. Điều này tuân thủ các nguyên tắc bảo mật chặt chẽ trong NIST SP 800-123 về việc bảo vệ hạ tầng máy chủ và dịch vụ mạng.

Tiêu chí lựa chọn Switch Layer 2 cho doanh nghiệp

Thị trường thiết bị mạng hiện nay cực kỳ đa dạng từ các dòng Unmanaged phổ thông đến Fully Managed cao cấp. Việc nắm giữ định nghĩa switch layer 2 là gì ở cấp độ chuyên gia sẽ giúp bạn đưa ra quyết định đầu tư đúng đắn dựa trên các tiêu chí sau:

  • Tính năng quản lý (Management): Luôn ưu tiên switch hỗ trợ Console port, SNMP, và SSH để quản trị tập trung. Các dòng “Smart Lite” thường thiếu hụt khả năng giám sát sâu.
  • Khả năng dự phòng (Redundancy): Kiểm tra xem thiết bị có hỗ trợ Spanning Tree Protocol (STP – 802.1D) hoặc Rapid STP (802.1w) hay không. STP giúp ngăn chặn vòng lặp (loop) vốn là “ác mộng” của lớp 2 gây ra hiện tượng nghẽn mạng toàn cục.
  • Ngân sách cấp nguồn (PoE Budget): Nếu triển khai hệ thống Wifi 6 (802.11ax), bạn cần chọn các mẫu switch hỗ trợ chuẩn PoE+ (802.3at) với công suất mỗi cổng tối thiểu 30W.
  • Hỗ trợ Stacking: Đối với các văn phòng phát triển nhanh, tính năng Stack vật lý cho phép gộp nhiều switch thành một thực thể quản lý duy nhất, giúp tăng băng thông Uplink và đơn giản hóa việc cấu hình.

Hiểu rõ bản chất switch layer 2 là gì không chỉ dừng lại ở các khái niệm lý thuyết mà là sự kết hợp nhuần nhuyễn giữa khả năng tối ưu phần cứng và thực thi các giao thức bảo mật lớp truy cập. Một hạ tầng mạng mạnh mẽ luôn bắt đầu từ một nền tảng lớp 2 vững chắc, nơi mọi Frame dữ liệu được luân chuyển an toàn và chính xác tới đích đến. Hãy bắt đầu từ việc chuẩn hóa sơ đồ mạng và áp dụng các best-practice về phân chia VLAN ngay hôm nay để đảm bảo hệ thống luôn vận hành ở trạng thái tốt nhất.

Cập nhật lần cuối 03/03/2026 by Hiếu IT

Avatar photo
Hiếu IT

Đỗ Ngọc Hiếu – Người sáng lập & vận hành Thư Viện CNTT. Nơi kết nối và chia sẻ kho tàng tài liệu, Ebook, Video bài giảng chất lượng cao dành cho cộng đồng yêu công nghệ.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *