VLAN คืออะไร

VLAN ย่อมาจาก Virtual Local Area Network

สืบเนื่องจากการในการเปลี่ยนอุปกรณ์จากHUB มาเป็น Switch ปัญหาที่ยังคงเกิดขึ้นคือ Switch ยังมี Broadcast Domain อยู่จึงทำให้หากมีการนำ Switch หลายๆตัวมาต่อกันทำให้ปริมาณของ Traffic Broadcast Domain มีปริมาณมากเกินไปในระบบจนทำให้ระบบเกิดความล่าช้า อีกทั้งสิ้นเปลือง CPU ในการประมวลผลของอุปกรณ์

VLAN Concept

การแบ่งแยก VLAN เป็นการแยก Broadcast Domain ออกจากกัน หรือเป็นการแยกวง Network ออกจากกัน

*Picture 1,2,3

การแยก VLAN อาจแบ่งตาม แผนก , หน้าที่การทำงาน , แบ่งตามชั้น ซึ่งการแยกนั้นจะขึ้นอยู่กับการออกแบบ

ประโยชน์ที่ได้จากการทำ VLAN

- จำกัดการแพร่กระจายของบรอดคาสท์ทราฟฟิกไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก
- สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง Access Control List บนอุปกรณ์เลเยอร์ 3 และ ลดความเสี่ยงเกี่ยวกับการดักจับข้อมูล (Sniffing)
- ผู้ใช้งานสามารถที่จะเคลื่อนย้ายไปยัง VLAN (Subnet) อื่นๆ ได้โดยเพียงแค่การเปลี่ยนคอนฟิกของสวิตซ์และ IP Address ของ Client เพียงนิดเดียว ไม่จำเป็นต้องมีการย้ายสวิตซ์ หรือสายเคเบิลใดๆ
- สามารถรองรับการขยายตัวของระบบเน็ตเวิร์กที่จะเพิ่มขึ้นในอนาคตได้ง่าย เนื่องจากมีการวางแผนเกี่ยวกับการทำซับเน็ต และการดีไซน์ระบบที่ไม่ยึดติดกับทางกายภาพอีกต่อไป

VLAN TYPE
โดยค่า Default  ทุกๆ พอร์ทของสวิตซ์นั้น จะถูกจัดให้อยู่ใน VLAN 1 หรือ ที่เรียกกันว่า “Management VLAN” ซึ่ง ในการสร้าง-แก้ไข-ลบ VLAN นั้น เราจะไม่สามารถลบ VLAN 1 นี้ได้ และ หมายเลข VLAN นี้ สามารถสร้างได้ตั้งแต่หมายเลข 1 – 1005 โดยใช้คำสั่ง native vlan ในการระบุทั้งนี้การสร้าง vlan นั้นจะได้มากหรือน้อยเพียงใดจะขึ้นอยู่กับความสามารถแต่ละรุ่นที่ไม่เท่ากัน

การกำหนด Native VLAN นั้นเราตั้งไว้สำหรับการจัดการตัวอุปกรณ์โดยจะเป็น VLAN ที่ไม่มีการติด TAG บนเฟรม การสร้าง Native VLAN ไว้เพื่อสำหรับรองรับ Switch ที่ไม่มีการรองรับ Dot1Q หรือรองรับอุปกรณ์รุ่นเก่าๆนั่นเอง

ในการตั้งค่า VLAN สามารถแบ่งได้ด้วยกัน 2 ประเภทคือ Static , Dynamic

Static VLAN เรียกอีกชื่อหนึ่งว่า Port Based Membership เป็นการแบ่งแยก VLAN ตาม Port ซึ่ง Port ต่างๆที่ต่อยู่นั้นอาจเป็นเครื่องคอมพิวเตอร์หรือ Client  ก็ได้หาก Port นั้นๆอยู่ VLAN เดียวกันสามารถติดต่อกันได้ แต่หากอยู่คนละ VLAN จะไม่สามารถติดต่อกันได้  (อ้างอิงจาก L2Switch)

*Picture 4

Dynamic VLAN เป็นการกำหนด VLAN ให้กับเครื่องClient โดยพิจารณาจากหมายเลข MAC Address ของ Client ซึ่งเมื่อ Client ทำการเชื่อมต่อไปยังสวิตซ์ตัวใดๆ สวิตซ์ที่รัน Dynamic VLAN นี้ก็จะไปหาหมายเลข VLAN ที่ MAP กับ MAC Address นี้จาก Database ส่วนกลางมาให้ ซึ่ง System Administrator สามารถที่จะเซตหมายเลข MAC Address ในการจับคู่กับ VLAN ได้ที่ VLAN Management Policy Server (VMPS)

*Picture 5

เป็นพอร์ทที่ทำหน้าที่เชื่อมต่อระหว่างสวิตซ์จาก Client ไปยังสวิตซ์ ซึ่งเราจะใช้ สายแลนแบบ สายตรง (Straight Through) ในการเชื่อมต่อ และ พอร์ทที่ถูกเซ็ตให้เป็น Access Port นี้ จะมี ทราฟฟิกของ VLAN เพียง VLAN เดียวที่วิ่งผ่านออกยังพอร์ทนี้
ตัวอย่าง Config
switch# configure terminal
switch(config)# interface fa0/1
switch(config-if)# switchport mode access
switch(config-if)# switchport access vlan 2



Trunk VLAN Port
เป็นพอร์ทที่ส่งผ่านทราฟฟิกของ หลายๆVLAN ให้ กระจายไปยังสวิตซ์ตัวอื่นๆ ที่มีพอร์ทที่ถูกกำหนดให้เป็น VLAN เดียวกันกับสวิตซ์ตัวต้นทางได้ หรือที่เรียกกันโดยทั่วไปว่า UPLINK PORT
switch# configure terminal
switch(config)# interface f0/1
switch(config-if)# switchport mode trunk


*Picture 6

Encapsulation of VLAN
เนื่องจากการทำ VLAN นั้นอยู่ใน Layer 2 ตาม OSI Model จึงทำให้การทำ VLAN ต้องมีการเข้ารหัสก่อนเพื่อให้อุปกรณ์ที่เชื่อมต่อใน L2 ทุกๆตัวทราบว่า Package ดังกล่าวมาจาก VLAN ใดโดยทำการติด TAG เข้าไปยัง Frame Package  ซึ่งมีการเข้ารหัสด้วยกันอยู่ 2 วิธี

วิธีเข้ารหัสแบบ IEEE802.1Q เป็นการเพิ่มField พิเศษเข้าไปอีก 4 Bytes แทรกระหว่างSource MAC และ Frame Load

*Picture 7

วิธีเข้ารหัสแบบ ISL(Inter Switch Link)เป็นโปรโตคอลที่มีเฉพาะของ CISCO โดยเพิ่มฟิลด์ขนาด 26 Bytes เข้าไปที่ด้านหน้าสุดของเฟรม และ ต่อท้ายจาก CRC

*Picture 8


Virtual Trunking Protocol (VTP)
หากระบบของเรามี Switch หลายๆตัวอยู่จำทำให้การสร้าง VLAN ทุกๆ VLAN บน Switch เป็นเรื่องที่ยุ่งยากพอสมควร
การทำ VTP เป็นการสร้าง VLAN จากจุดๆเดียวภายใน Network โดยแบ่งโหมดการทำงานหลักๆออกเป็น 3 โหมด

Server Mode ทำหน้าที่แจกจ่าย VLAN โดยมีสิทธิ์ในการเพิ่ม แก้ไข ลบ ได้อย่างเต็มที่

Client Mode ทำหน้าที่รับข้อมูล VLAN จาก Server ผ่าน VTP Domain โดยไม่สามารถแก้ไขหรือลบได้

Transparent  ทำการForward  Frame ที่วิ่งผ่านตัวมันไปยังปลายทาง ผ่านทาง พอร์ท Trunk ของมัน จุดประสงค์ของ VTP Transparent Mode นี้ มักใช้ในการ Save Configurations ของสวิตซ์

ข้อควรระวัง

ในการประกาศ VLAN ของ VTP Server นั้น จะใช้วิธีการส่งหมายเลข VLAN และ หมายเลข VTP Advertisement ออกไปยัง VTP Client อื่นๆ โดยการส่งผ่าน Multicast IP Address ซึ่ง VTP Server ที่มี VTP Advertisement ที่มีค่าสูงสุด Client จะรับฟังและ Update ข้อมูลตาม VTP Server นั้นๆ
ซึ่งจากการกระทำดังกล่าว หากมี Switch ตัวใหม่เข้ามาต่อควรจะเช็คค่า VTP Advertisement ก่อนมิฉะนั้นจะทำให้ค่า VLAN ที่เคยตั้งค่าไว้หายหมด( นำค่า VLAN จาก Switch ตัวใหม่จ่ายไปให้แทน เพื่อมีค่า Adv สูงกว่า )