Virtual LAN (VLAN)blog.bru.ac.th/.../12690/CH8-Virtual-LAN-VLAN.pdf · Virtual LAN (VLAN)...
64
Virtual LAN (VLAN) Virtual LAN (VLAN)
Transcript of Virtual LAN (VLAN)blog.bru.ac.th/.../12690/CH8-Virtual-LAN-VLAN.pdf · Virtual LAN (VLAN)...
Virtual LAN (VLAN)Virtual LAN (VLAN)
ความหมายของ VLAN
VLAN คอ การแบงกลมของสวตซภายในเลเยอร 2 ท�ไมข�นกบ ลกษณะทางกายภาพใดๆ
เราไมจาเปนท�จะตองนาสวตซมาตอกนเปน ทอดๆ เพ�อจดกลมของสวตซวาสวตซกลมน� คอกลมเดยวกน
แตเราสามารถท�จะจดกลมให สวตซท�อยหางไกลกนออกไปน�น เปน แตเราสามารถท�จะจดกลมให สวตซท�อยหางไกลกนออกไปน�น เปนสมาชกของสวตซอกกลมหน�งทางแนวตรรกกะ (Logical Design) ได
VLAN Definitions
VLANs
เปนการแบงกลมของสวตซในเชงตรรกะ (Logical Design) ในกระบวนการทางานของสวตซเลเยอร 2
แมสวตซจะสามารถลดปรมานของโดเมนปะทะ (Collision Domain) ใหเหลอเพยง 1 Collision Domain ตอ 1 พอรทของสวตซแลวกตาม แตทกพอรทของสวตซยงคงมบรอดคาสทโดเมน (Broadcast Domain) อย
ซ� งหากนาสวตซมาตอกนหลายๆ จด และมการใชงานบรอดคาสทโดเมนข�นมา น�น ซ� งหากนาสวตซมาตอกนหลายๆ จด และมการใชงานบรอดคาสทโดเมนข�นมา น�นหมายถงวายงคงท�จะมทราฟฟก(Traffic) ท�เปนสวนเกนออกมาอยด ซ� งจะทาใหระบบเนตเวรกเกดความลาชา และส�นเปลอง CPU ในการประมวลผลของอปกรณดไวซตางๆ โดยไมจาเปน
การทา VLAN จะมาชวยแกปญหาตรงจดน�ได เน�องจาก ในการทาVLAN น� จะเปนการจากดวงของ บรอดคาสทโดเมนใหอยภายในพอรท หรอ ดไวซท�เรากาหนดเทาน�น ซ� งทราฟฟกจะไมถกสงผานไปยงบรอดคาสทโดเมนอ�นๆ
VLANs
หากไมมการคอนฟกใดๆ เพ�มเตมและในทางการรกษาความปลอดภยในระบบเครอขายน�น ทกๆพอรทของสวตซถอวาเปนบรอดคาสทโดเมนเดยวกน
ซ� งทราฟฟกท�ว�งออกมาจากพอรทของสวตซหน�งๆ ทกๆ พอรทน�น สามารถท�จะมองเหนเฟรมขอมลน�นๆ ได หากวา มใครสกคนหน�งทาตวเปน สนฟเฟอรโหมด (Sniffer Mode) เพ�อดกจบขอมลไปคงไมดแน
แตถาทา VLAN แลว เราสามารถท�จะควบคมทราฟฟกใหอยในเฉพาะขอบเขตท�เราตองการได เชนเราตองการให สวตซพอรทท� 1-5 ของสวตซ 1 ซ� งอยช�นท� 1 เปนสมาชกเดยวกนกบ สวตซพอรทท� 6-8 ของสวตซ 3 ท�อยช�นท� 3 กเปนได
โดยท� ทราฟฟกจะไมถกสงออกไปยงพอรทอ�นๆ ของสวตซตวมนเอง และสวตซตวอ�นๆ อก ซ� งเปนมาตรการในการรกษาความปลอดภยเบ�องตนของระบบเนตเวรกได
VLANs
การคอนฟก VLAN น�น สามารถกระทาไดภายใน ตว IOS ของสวตซไดโดยตรง และการคอนฟก VLAN ไมจาเปนท�จะตองมการยายสายเคเบลใดๆ เพ�อจดกลมของสวตซ
ไมตองการต�งคาใดๆ ท�ตว Client เลย นอกจากหมายเลข IP Address ของ Client ท�จะตองจดสรรใหมใหแก Client ในกรณท�ตองการให Client ไปClient ท�จะตองจดสรรใหมใหแก Client ในกรณท�ตองการให Client ไปอยในตางซบเนตเทาน�น
หากตองการให VLAN น�น สามารถท�จะตดตอส�อสารระหวางกน หรอท�เรยกวา Inter VLANs น�น เราจาเปนท�จะตองมอปกรณในเลเยอร 3 เชน เราเตอร หรอ สวตซเลเยอร 3 มาชวยในการ เราททราฟฟกระหวาง VLANs กน
ทาไมตองใช VLAN
เพ�มประสทธภาพของเครอขาย ในเครอขายปกตจะมการสง Broadcast จานวนมาก ทาใหเกด Congestion และ VLAN สามารถชวยเพ�มประสทธภาพของเครอขายได โดยจากดใหสงขอมล Broadcast ไปยงผท�อยใน VLAN เดยวกนเทาน�น
งายตอการบรหารการใชงาน VLAN อานวยความสะดวกในการบรหารจดการโครงสรางของระบบเครอขายใหงาย มความยดหยน และเสยคาใชจายนอย โดยเพยงเปล�ยนโครงสรางทาง Logical เทาน�น ไมจาเปนตองเปล�ยนโครงสรางทางเพยงเปล�ยนโครงสรางทาง Logical เทาน�น ไมจาเปนตองเปล�ยนโครงสรางทางกายภาพ
เพ�มการรกษาความปลอดภยมากข�น เน�องจากการตดตอระหวางอปกรณเครอขายจะสามารถทาไดภายใน VLAN เดยวกนเทาน�น ถาตองการท�จะตดตอขาม VLAN ตองตดตอผานอปกรณคนหาเสนทางหรอสวตชเลเยอร 3
VLAN แบบ Portbase และ Tagbase VLAN คอการจดพอรตท�มอยในเนตเวรค มาแบงกลมกน เพ�อจากดขอบเขตของ
การรบและสงขอมล ขอมลสามารถจะไหลจากพอรตหน�งไปยงอกพอรตหน�งได ถาพอรตปลายทางน�นอยในสมาชก VLAN เดยวกบพอรตตนทาง ไมวาเฟรมขอมลน�นจะเปน Broadcast, Multicast หรอ Unicast กเปนไปตามขอกาหนดน�
พอรตใดพอรตหน�ง สามารถเปนสมาชกของ VLAN ใดกได แลวแตกาหนดและยงสามารถเปนสมาชกของหลาย ๆ VLAN ไดดวย เชนเราตองการแบงเนตเวรคสามารถเปนสมาชกของหลาย ๆ VLAN ไดดวย เชนเราตองการแบงเนตเวรคออกเปน 3 กลม กลมละ 5 เคร�อง สามารถจะจด VLAN ไดวา
• VLAN 1 ประกอบดวยสมาชกไดแก พอรต 1 ถงพอรต 5 และพอรต 16
• VLAN 2 ไดแกพอรต 6 ถงพอรต 10 และพอรต 16
• VLAN กลมสดทายกจะมพอรต 11 ถงพอรต 15 และพอรต 16
จะเหนวาพอรต 16 เปนสมาชกของท�ง 3 VLAN หมายความวาพอรต 16 จะถกนาไปเสยบกบเซรฟเวอรน�นเอง
แบบ Portbase และ Tagbase
ถา VLAN กลมไหนมเคร�อง 5 เคร�องวธคงสภาพของ VLAN ไว แตถาจานวนเคร�องมากข�น เราจะใชวธการขยายพอรตโดยการ Uplink เชน ถากลม 2 มเคร�องมากข�น เรากจะใชพอรต 6 มา Uplink ไปหาสวตชธรรมดากได ลกษณะการเช�อมตอ VLAN แบบน� เขาใจงาย จดงาย ไมยงยาก และดแลงาย ซ�งเราเรยกวาเปน VLAN แบบ Port base คอใชยงยาก และดแลงาย ซ�งเราเรยกวาเปน VLAN แบบ Port base คอใชพอรตเปนตวกาหนดวาจะเปนสมาชกของ VLAN ใด
แบบ Portbase และ Tagbase
VLAN แบบ Port base กมขอจากด เชน เม�อเราจะตองจดเนตเวรคขนาดใหญ เชน เราตองการจะใหเคร�องจานวน 50 เคร�องอยใน VLAN เดยวกน และแยกออกจากเคร�องอก 50 เคร�อง ใหเปนอก VLAN หน�ง เราตองเอาสวตชหลายตว มาพวงหรอ Uplink กนเปนใหเกดเปน VLAN ขนาดใหญหลาย ๆ วง ซ� ง VLAN แบบ Port base น�นไมสามารถรองรบไดแน จะตองไปใช VLAN แบบ Tag base แทน
Tag แปลวาปาย หมายความวาแพกเกตขอมลใดกตามท�จะถกสงจากพอรตหน�งไป Tag แปลวาปาย หมายความวาแพกเกตขอมลใดกตามท�จะถกสงจากพอรตหน�งไปยงอกพอรตหน�ง จะตองมการ"แปะปาย" เพ�อแจงวาแพกเกตน�นเปนของ VLAN ใด(ถกสงออกจากพอรตตนทางท�อยในสงกด VLAN ใด)
พอรตใดกตามท�จะรบแพกเกตน�นไวหรอจะยอมใหแพกเกตน�นว�งทะลผานตวเองหรอไม (เชน พอรต Uplink) มนจะตองตรวจดดวยวา แพกเกตน�นมปาย ระบวาเปน VLAN เดยวกบตวเองหรอไม ถาไมใช กไมใหแพกเกตผานหรอไมใหว�งเขามาในพอรตได
Tag Base VLAN
ดวยวธการ Tag หรอแปะปายลงไปในแพกเกตน� จะทาใหแพกเกตสามารถจะว�งจากสวตชตวหน�ง ทะลผานพอรต Uplink ไปยงสวตชอกตวหน�งได จะทะลตอไปไดเร�อย ๆ โดยไมหลง VLAN โดยตลอดเสนทางการว�งผานน�น พอรตทก ๆ พอรตจะตองสงกดสมาชกเดยวกบ VLAN ของแพกเกตน�นVLAN ของแพกเกตน�น
VLAN แบบ Tag base เปนระบบท�จดการไมงายนก มเง�อนไขและรายละเอยดคอนขางมาก ถาเราศกษาลกลงไปใน VLAN แบบ Tag base เชน Ingress port, Egress port, Forbidden port, Fix ID, GARP, GVRP ฯลฯ
รปแบบการ Encapsulation ของ VLAN
เน�องจากเฟรมท�ว�งผาน Trunk Port ระหวางสวตซน�น มโอกาสท�เฟรมน�นๆ จะเปนของ VLAN ใดๆ กได ดงน�นสวตซแตละตวจาเปนท�จะตองหาเทคนคบางอยางในการท�จะทาใหสวตซปลายทางสามารถจาแนกไดวาทราฟฟกท�มนไดรบเขามาน�นเปนของ VLAN ใด
เทคนคท�วาน�นคอ การเพ�มฟลดขอมลเขาไปในเฟรมมาตรฐานของสวตซ เทคนคท�วาน�นคอ การเพ�มฟลดขอมลเขาไปในเฟรมมาตรฐานของสวตซ เพ�อใชในการจาแนก (Identified) วาทราฟฟกน� เปนของ VLAN ใด
ซ�งการเพ�มฟลดเขาไปในเฟรมน� ถอเปนการ Encapsulation เพ�มเตมเขาไปในเฟรม ซ�งเทคนคในการ Encapsulation ของ VLAN น�จะมอยดวยกน สองแบบ คอ 802.1Q และ ISI
รปแบบการ Encapsulation ของ VLAN
802.1Q (IEEE Standard) เทคนคของ IEEE 802.1Q จะใชวธการเพ�มฟลดพเศษขนาด 4 Bytes เขาไปแทรกระหวางเฟรม และสามารถนาไปใชในเทคนคของNative VLAN ได (หมายถง เฟรมท� ตดสวนของ IEEE 802.1Q ออก เพ�อจาแนกใหมนเปนทราฟฟกพเศษ เชน การทา Voice QoS)
ISL (Inter Switch Link: Cisco Proprietary) ISL จะเพ�มฟลดขนาด 26 Bytes เขาไปท�ดานหนาสดของเฟรม และ ตอทายจาก CRC (พดอกนยหน�งคอ
เพ�มฟลดขนาด เขาไปท�ดานหนาสดของเฟรม และ ตอทายจาก CRC (พดอกนยหน�งคอ Encapsulation หอหมเฟรมใหมท�งหมดดวย ISL Field)
การ Encapsulation ท�งสองแบบน�จะกระทาท� Egress Port (พอรท ขาออก) และ สวตซท�จะพจารณาเฟรมน� จะพจารณาหลงจากท�รบเฟรมเขามาทางพอรทขาเขา หรอ Ingress Port
มาตรฐานของ VLAN คอ 802.1Q
เปนมาตรฐานในการนาขอมลของ VLAN membership ใสเขาไปใน Ethernet Frame หรอท�เรยกวา การ Tagging
ถกพฒนาเพ�อแกปญหาเร�องการบรหารจดการดานเครอขายท�เพ�มข�น เชน การกระจายเครอขายใหญๆ ใหเปนสวนยอยๆ (Segment) ทาใหไมสญเสยแบนวธใหกบการ broadcast และ multicast มากเกนไป
เปนการรกษาความปลอดภยระหวางสวนยอยตางๆ ภายในเครอขายใหสงข�น เปนการรกษาความปลอดภยระหวางสวนยอยตางๆ ภายในเครอขายใหสงข�นอกดวย
การตอเตมเฟรม (tagging Frame) ดวยมาตรฐาน 802.1Q น�นจะทาในระดบ Data-Link layer
การทา VLAN Tagging น�นจะเปนการเปล�ยนรปแบบของ Ethernet Frame มาตรฐาน 802.3 ใหเปนรปแบบใหมท�เปนมาตรฐาน 802.3 ac
การ Encapsulation ของ VLAN
Tagging Ethernet Frames for VLAN Identification
เฟรม tagging ใชในการสงเฟรมขาม VLAN ผานทาง Trunk Port
Switches จะใช tag frames เพ�อใชระบ VLAN วามาจาก VLAN ใด มโปรโตคอลท�ใชใน tagging ท�ตางกน IEEE 802.1q เปนโปรโตคอลท�ไดรบความนยมมาก
โปรโตคอลใชกาหนดโครงสรางของ tagging header ท�เพ�มไปยงเฟรม โปรโตคอลใชกาหนดโครงสรางของ tagging header ท�เพ�มไปยงเฟรม
สวทชจะเพ�ม VLAN tags ไปท�เฟรมกอน frames สงไปท� trunk links และเอาtags ออกกอนจะสงตอไปยงพอรตท�ไมใช trunk ports
อกหน�งคณสมบตของ tagged คอเฟรมสามารถสงผานสวตชใดๆ ผานทาง trunk links และยงคงสงตอไปเร�อยๆ จนถง VLAN ปลายทางท�ถกตอง
Tagging Ethernet Frames for VLAN Identification
Native VLAN
Native VLAN เปน VLAN ท�ใชสาหรบบรหารจดการหรอตดตอส�อสารกนระหวางอปกณ (ในท�น�หมายถง Switch)
การทา trunk port น�น จะมการ encapsulate ของหมายเลข vlan น�นๆ และตด tag header ไปกบ frame ดวยและอปกรณปลายทาง (Switch) จะทราบวาเปนแพกเกจจาก VLAN ใด แต Native VLAN จะไมมการ ทราบวาเปนแพกเกจจาก VLAN ใด แต Native VLAN จะไมมการ encapsulate อปกรณปลายทางหากไมพบ tag header กจะเขาใจวาเปน Native VLAN
ปกตหากไมมการกาหนดหมายเลข Native VLAN อปกรณจะกาหนดให VLAN 1 เปน Native VLAN โดยอตโนมต แตเพ�อความปลอดภยควรเปล�ยนเปนหมายเลข VLAN อ�น
Native VLANs and 802.1q Tagging
เฟรมท�เปน native VLAN จะไมถกเพ�มแทก
เฟรมท�ไดรบมาไมมแทกและกลายเปน native VLAN เม�อสงตอ
หากมพอรตไมใช native VLAN และไมไดเช�อมตอกบ Trunk เฟรมท�มแทกจะถกดรอปท�งมแทกจะถกดรอปท�ง
ในสวทชของซสโก native VLAN จะเปน VLAN 1 โดยคาเร�มตน
Trunking
การเช�อมตอระหวางสวตชโดยใชสายเพยงแค 1 เสนหรอท�เราเรยกกนวา Uplink น�นเปนเร�องท�มกนมานานแลว แลวกใชงานกนมาจนถงปจจบน
ซ� ง IEEE กไดสรางมาตรฐานข�นมาใหมท�เราเรยกวา IEEE 802.3ad หรอเรยกเปนภาษาเทคนควา Aggregate Link หรอเรยกเปนภาษาทางการตลาดวา Trunking
Trunking ไมใชการเพ�มความเรว แตเปนการลดเวลา เพราะกลมของพอรตของสวตชตวหน�งจาเปนจะตองส�อสารกบกลมของพอรตของสวตชอกตวหน�ง การส�อสารกคอตวหน�งจาเปนจะตองส�อสารกบกลมของพอรตของสวตชอกตวหน�ง การส�อสารกคอการสงขอมลแลกเปล�ยนขามฝ�งกนไปมา เหมอนกบฝ�งธนฯกบฝ�งพระนคร แตมสะพานแคอนเดยวมาเช�อม ซ� งรถกจะตดเปนขบวนเพราะตอง“ เขาคว “
ดงน�นการวดความเรวของขอมลแตละช�นท�ว�งขามแตละสะพานกทาไมไดแลว แตเราจะวดจากจานวนของขอมลท�งหมดท�สามารถว�งขามสะพานท�งหมดไดใน 1 วนาท ซ� งในทางเทคนคจะไมเรยกวาเปนการวด Speed แตเปนการวดThroughput หรอความสามารถในการทะลผาน
VLAN Trunks
ทฤษฏของ Access Port และ Trunk Port
ในการสราง VLAN น�น พอรทของสวตซน�น จะทาหนาท�อย สองประเภท คอ ACCESS PORT และ TRUNK PORT
ซ�งจะมหนาท�ในการทางานตางๆ กนไปตามท� System Administrator จะเปนคนกาหนดไว
Access Port
เปนพอรทท�ทาหนาท�เช�อมตอระหวางสวตซจาก Client ไปยงสวตซ ซ�งเราจะใชสายแลนแบบสายตรง (Straight Through) ในการเช�อมตอ
พอรทท�ถกเซตใหเปน Access Port น� จะมทราฟฟกของ VLAN เพยง VLAN เดยว ท�ว�งผานออกยงพอรทน� ซ� งตวอยางในการเซตพอรทใหเปน Access Port น� คอ เปน Access Port น� คอ
• พอรทท� เซตระหวางสวตซ และ Client
• พอรทท� เซตระหวางสวตซ และ Server
• พอรทท� เซตระหวาง สวตซ และ เราเตอร (มขอแมวา เราเตอรตวท�เช�อมตอน�น จะตองไมใชเราเตอรท�ทาหนาท�ในการเราททราฟฟกของ Inter VLAN)
Trunk Port
เปนพอรททาหนาท� เช�อมตอสวตซตวอ�นๆ ท�ตองการใหเปนสมาชกของVLAN ตางๆกนมาอยดวยกน
ทาหนาท�สงผานทราฟฟกของ หลายๆ VLAN ให กระจายไปยงสวตซตวอ�นๆ ท�มพอรทท�ถกกาหนดใหเปน VLAN เดยวกนกบสวตซตวตนทางได หรอท�เรยกกนโดยท�วไปวา UPLINK PORT ได หรอท�เรยกกนโดยท�วไปวา UPLINK PORT
ตวอยางในการเซตพอรทใหเปน Trunk Port น� คอ
• พอรทท�ทาหนาท�เช�อมตอไปยงสวตซตวอ�นๆ เชน UPLINK PORT
• พอรทท�ทาหนาท�เช�อมไปยงเราเตอรตวท�ทาหนา เราททราฟฟกระหวาง VLAN
Access Port และ Trunk Port
ประโยชนท�จะไดรบจากการทา VLAN
สรางกลไกดานความปลอดภยไดงายข�น เชน การสราง Access Control List บนอปกรณ Layer3 และลดความเส�ยงการดกจบขอมล (Sniffing)
จากดการแพรกระจายของ Broadcast traffic ไมใหสงผลกระทบตอประสทธภาพโดยรวม
ผใชสามารถยายไปยง VLAN (Subnet) อ�น ดวยการเปล�ยน config ของ switch และ IP Address ของ Client ไมจาเปนตองมการยาย switch หรอ สายใด ๆ
สามารถวเคราะห ปญหาท�เกดข�นในระบบไดงายข�น เชน สามารถวเคราะห ปญหาท�เกดข�นในระบบไดงายข�น เชน
• ในระบบมการแบง VLAN ไว 3 แผนก ไดแก sale , engineer และ server วนหน�ง ผใชของ sale โทรมาแจงปญหากบ admin วาเลน Internet ไมได
• Admin ควรจะถาม user กลบไปวาคนอ�นในแผนกเปนดวยหรอไม ถาไมกแสดงวาเปนท�เคร�องของ user คนน�นคนเดยว
• แตถาหากเปนท�งแผนก กตองโทรเชคกบแผนก engineer ดวยวาเปนเหมอนกนหรอไม ถาไมเปน แสดงวาเปนท�แผนก sale แผนกเดยว ดงน�นกทาการตรวจเชคปญหาท�แผนก sale อยางเดยว
จะเหนไดวาการวเคราะหปญหางายข�นมากและการขอบเขตในการวเคราะหปญหากแคบลง ท�สาคญตอนการแกปญหากควรนาหลกการ OSI Layer เขามาชวยจะทาใหหาสาเหตไดเรวข�น
VLAN 1
VLAN โดยคาดฟอลท (Default) ทกๆ พอรทของสวตซน�น จะถกจดใหอยใน VLAN 1 หรอ ท�เรยกกนวา “Management VLAN”
เราจะไมสามารถลบ VLAN 1 น� ได และ หมายเลข VLAN น� สามารถสรางไดต�งแตหมายเลข 1 – 1005
VLAN 1
ชนดของ VLAN ม 2 ชนด
1. Static VLAN เลอกตามเลขพอรต 2. Dynamic VLAN คอการเลอกสมาชกVLAN โดยพจารณาจาก MAC address ท�ตองการ
Static VLAN
Static VLAN หรอ อกช�อหน�งคอ Port-Based Membership จะเปนการพจารณาความเปนสมาชกของ VLAN หน�งๆ โดยดจากพอรท
ซ�งพอรทของสวตซท�เช�อมตออยกบ Client น�น ถงแมวาจะเปนพอรทของสวตซเดยวกน แตหากพอรทท�งสองน�นอยคนละ VLAN กน กไมสามารถท�จะตดตอกนได หากไมมอปกรณในเลเยอร 3 มาชวยในการสามารถท�จะตดตอกนได หากไมมอปกรณในเลเยอร 3 มาชวยในการเราททราฟฟก
ซ�งการเซตพอรทแตละพอรทใหเปนสมาชกของ VLAN ใดๆ น�น จะถกกระทาแบบ Manual จาก System Administrator
Static VLAN
Dynamic VLAN
Dynamic VLAN เปนการกาหนด VLAN ใหกบเคร�อง Client โดยพจารณาจากหมายเลข MAC Address ของ Client
เม�อ Client ทาการเช�อมตอไปยงสวตซตวใดๆ สวตซท�รน Dynamic VLAN น�กจะไปหาหมายเลข VLAN ท� MAP กบ MAC Address น� จาก Database สวนกลางมาใหDatabase สวนกลางมาให
ซ�ง System Administrator สามารถท�จะเซตหมายเลข MAC Address ในการจบคกบ VLAN ไดท� VLAN Management Policy Server (VMPS)
Dynamic VLAN
รปแบบอ�นๆ ของ VLAN
1. Layer 1 VLAN : Membership by ports ในการแบง VLAN จะใชพอรตบอกวาเปนของ VLAN ใด เชนสมมตวาในสวตชท�ม 4 พอรต กาหนดให พอรต 1, 2 และ 4 เปนของ VLAN เบอร 1 และพอรตท� 3 เปนของ VLAN เบอร 2
Port VLAN Port VLAN
1 1
2 1
3 2
4 1
2. Layer 2 VLAN : Membership by MAC Address ใช MAC Address ในการแบง VLAN โดยใหสวตชตรวจหา MAC Address จากแตละ VLAN
MAC Address VLAN
1212354145121 1 1212354145121 1
2389234873743 2
3045834758445 2
5483573475843 1
3. Layer 2 VLAN : Membership by Protocol types แบง VLAN โดยใชชนดของ protocol ท�ปรากฏอยในสวนของ Layer 2 Header ดรปท� 3
Protocol VLAN
IP 1
IPX 2
4. Layer 3 VLAN : Membership by IP subnet Address แบง VLAN โดยใช Layer 3 Header น�นกคอใช IP Subnet เปนตวแบง
IP Subnet VLAN
23.2.24 1
26.21.35 2
5. Higher Layer VLAN's ทาไดโดยใชโปรแกรมประยกตหรอ service แบง VLAN เชนการใชโปรแกรม FTP สามารถใชไดใน VLAN 1 เทาน�น และถาจะใช Telnet สามารถเรยกใชไดใน VLAN 2 เทาน�น เปนตน
Protocol VLAN Protocol VLAN
FTP 1
Telnet 2
VLAN Ranges On Catalyst Switches
Catalyst 2960 และ 3560 Series switches รองรบมากกวา 4,000 VLANsแบงเปน 2 กลม:
Normal Range VLANs
• VLAN numbers from 1 through 1005
• Configurations stored in the vlan.dat (in the flash)
•Configurations stored in the vlan.dat (in the flash)
• VTP can only learn and store normal range VLANs
Extended Range VLANs
• VLAN numbers from 1006 through 4096
• Configurations stored in the running-config (in the NVRAM)
• VTP does not learn extended range VLANs
Creating a VLAN
Assigning Ports To VLANs
Assigning Ports To VLANs
Changing VLAN Port Membership
Changing VLAN Port Membership
Deleting VLANs
Verifying VLAN Information
Virtual Trunking Protocol (VTP)
ในการท�เราจะสราง VLAN หน�งๆ ข�นมาใชงานน�น เราจาเปนท�จะตองสราง VLAN ท�ตวสวตซหน�งๆ (รวมถงต�งช�อให VLAN ในบางกรณ)
ซ�งหากวา ใน Infrastructures ของเราน�น มสวตซหลายๆ ตวอยในระบบน�น การท�จะสราง VLAN ทกๆ VLAN ข�นมาน�น คงเปนเร�องท�เสยเวลามากเลยทเดยว มากเลยทเดยว
ดงน�น ทางซสโก จงมเทคนคท�จะทาใหเราสามารถออกแบบ และ สรางหมายเลข VLAN ท�จดๆ เดยว และมการกระจาย (Propagation) ไปยงสวตซตวอ�นๆ ภายในเนตเวรกของเราได
VTP Operation
เม�อเร�มแรก ตองโปรโมทสวตซตวหน�งๆ ข�นมาทาหนาท�เปน VTP Server ใหกบ สวตซทกๆตวในเนตเวรก โดยการสราง VLAN ข�นท�สวตซตวน�
เม�อเรานาสวตซตวอ�นๆ มาตอกบมนดวย (สวตซตวแรก จะตองถกเซตใหเปน VTP Server Mode และ สวตซตวตอๆ มา จะตองถกเซตเปน VTP Client Mode และมการเซตโดเมนเนมภายในสวตซใหเหมอนกน (อยางนอยท�สด ในคร� งแรกท�นาสวตซตวอ�นๆ มาตอกบ VTP Server สวตซตวอ�นๆ จาเปนท�จะตองอยในสถานะ
อยางนอยท�สด ในคร� งแรกท�นาสวตซตวอ�นๆ มาตอกบ VTP Server สวตซตวอ�นๆ จาเปนท�จะตองอยในสถานะ Client Mode จนกระท�งไดเรยนร VLAN Number เรยบรอยแลว)
เม�อเราเช�อมตอในลกษณะน�แลว ทาง VTP Server น�น จะเปนตวแพรกระจายหมายเลข VLAN ใหแก Client Switch เอง เราเพยงแตทาหนาท�เซตพอรทของสวตซน�นๆ ใหวามนอยใน VLAN ใด หรอพอรทใดท�ทาหนาท�เปน Access Port หรอ Trunk Port เทาน�น
VTP Terminology
VTP Domain เปนการรวมกลมของสวตซท�งหมดท�มการบรหารจดการ VLAN เหมอนกน มาอยดวยกน และจะม ดาตาเบสของ VLAN เปนชดเดยวกน และ สวตซจะไมแชรดาตาเบสภายในโดเมนของตน ใหแก โดเมนอ�นๆ
VTP Modes
• Server: สวตซโหมดน�จะมอสระอยางเตมท�ในการเพ�ม-ลบ VLAN น�นๆ ได
• Client: สวตซโหมดน� จะสามารถทาไดเพยงแค รบหมายเลข VLAN มาจาก VTP Server เทาน�น• Client: สวตซโหมดน� จะสามารถทาไดเพยงแค รบหมายเลข VLAN มาจาก VTP Server เทาน�น
• Transparent: สวตซโหมดน� จะไมเก�ยวของในการอพเดตหรอ รบรเก�ยวกบ สวตซตวอ�นๆ แตจะสงตอเฟรมท�ว�งผานตวมนไปยงปลายทางไดผานทางพอรท Trunk ของมน จดประสงคของ VTP Transparent Mode น� มกใชในการ Save Configurations ของสวตซ
ในการประกาศ VLAN ของ VTP Server น�น จะใชวธการสงหมายเลข VLAN และ หมายเลข VTP Advertisement ออกไปยง VTP Client อ�นๆ โดยการสงผาน Multicast IP Address ซ� ง VTP Server ท�ม VTP Advertisement ท�มคาสงสด Client จะรบฟงและ Update ขอมลตาม VTP Server น�นๆ
Configuration VTP
VTP Sever
Switch# config terminal
Switch(config)# vtp mode server
Switch(config)# vtp domain eng_group
Switch(config)# vtp password mypass
Switch(config)# end
VTP Client
Switch# config terminal
Switch(config)# vtp mode client
Switch(config)# vtp domain eng_group
Switch(config)# vtp password mypass
Switch(config)# endSwitch(config)# end Switch(config)# end
Inter-VLAN Routing
การส�อสารระหวางตาง VLANs ตองใช Router หรอ Switch Layer 3
ซ�งเทคนคการเอาเราเตอรมาใช เรยกวา “Routes on a stick” และเทคนคการเอาสวตซเลเยอร 3 มาใช เรยกวา “Switch Virtual Interface (SVI)”
รปแบบในการเช�อมตอแบบ Routes on a stick น� เราเตอรจะใชเพยง Fast Ethernet อยางนอย 1 พอรทในการตอเขากบสวตซ และ มการเซต Sub-Ethernet อยางนอย 1 พอรทในการตอเขากบสวตซ และ มการเซต Sub-Interface ท�รองรบ VLAN น�นๆ เพ�อทาหนาท�เราททราฟฟกระหวาง VLAN
ตองเซตพอรตของสวตซพอรตน�นเปน Trunk Port ดวย และพอรตของเราเตอร จะตองมการเซต Encapsulation ในแบบท� สวตซตวน�นๆ ยอมรบ
VLAN Basic LAB 1
1. สราง หมายเลข VLAN และ ช�อของ VLAN ข�นมากอน2. กาหนด port (interface) ท�ตองการใหอย VLAN น�นๆ
การสราง VLAN
• Switch 1Switch1 > enableSwitch1 # configure terminalSwitch1 (config)# vlan 2Switch1 (config-vlan)# name AdminSwitch1 (config-vlan)# vlan 3Switch1 (config-vlan)# vlan 3Switch1 (config-vlan)# name User
การกาหนด interface ใหกบแตละ VLAN
Switch1 > enable
Switch1 # configure terminal
Switch1 (config)# interface fa0/2Switch1 (config-if)# switchport mode accessSwitch1 (config-if)# switchport access vlan 2Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/4Switch1 (config-if)# switchport mode accessSwitch1 (config-if)# switchport access vlan 3Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/5Switch1 (config-if)# switchport mode accessSwitch1 (config-if)# switchport access vlan 3
Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/3Switch1 (config-if)# switchport mode accessSwitch1 (config-if)# switchport access vlan 2Switch1 (config-if)# no shutdown
Switch1 (config-if)# switchport mode accessSwitch1 (config-if)# switchport access vlan 3Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/1Switch1 (config-if)# switchport mode trunk
การกาหนด interface ใหกบแตละ VLAN
การ config VLAN ท� switch 2 รปแบบ config เหมอนกน
สามารถ manage port หลาย port พรอมกนไดดวย range เชนSwitch2 (config)# interface range fa0/2-3Switch2 (config-if-range)# switchport mode accessSwitch2 (config-if-range)# switchport access vlan 2Switch2 (config-if-range)# switchport access vlan 2Switch2 (config-if-range)# no shutdown
ถา port ท� set ไมเรยงตอกนใช ( , ) ชวยได เชนSwitch1 (config)# interface range fa0/2 , fa0/5 , fa0/10 , fa0/20
การดสถานะของ VLAN
สามารถดสถานะของ interface และ VLAN ท� privilege mode ไดดวยคาส�ง
• show vlan หรอ
• show vlan brief
จากน�นลอง ping ด จะ ping เจอเฉพาะ VLAN ตวเองเทาน�น จากน�นลอง ping ด จะ ping เจอเฉพาะ VLAN ตวเองเทาน�น
Lab 2 InterVLAN Routing
InterVLAN Routing คอการตดตอส�อสารกนระหวาง VLAN ทาใหตางVLAN ตดตอหรอแลกเปล�ยนขอมลกนไดโดยมอปกรณ Layer 3 เปนตวเช�อมหรอเปน Gateway ใหน�นเอง
จงทาให VLAN 2 และ VLAN 3 ตดตอกนได ดวยการ Config Inter จงทาให VLAN 2 และ VLAN 3 ตดตอกนได ดวยการ Config Inter VLAN ท� Router CISCO
Lab InterVlan Routing
กาหนด IP ของ PC ตามรปดานบนVLAN 2 เปน Network 192.168.1.0/24 Gateway คอ 192.168.1.254VLAN 3 เปน Network 192.168.2.0/24 Gateway คอ 192.168.2.254
รปแบบ Config Inter VLAN บน Router CISCO
Router(config)#interface f0/0Router(config-if)#no shutdownRouter(config)#interface f0/0.1Router(config-subif)#encapsulation dot1Q VLAN IDVLAN IDRouter(config-subif)#ip address IP addresssubnet mask
เฉลย LAB Inter VLAN Routing
Switch-A ท� Fa0/6 ตอง Set เป น Port trunk
SW-A(config)#interface fastEthernet 0/6
SW-A(config-if)#switchport mode trunk
ท� Router config ท� Router config
Router1(config)#interface fastEthernet 0/0Router1(config-if)#no ip addressRouter1(config-if)#no shutdown
แบง Sub Interface และ Show ip route ผลท�ไดตามดานลางRouter1(config)#interface fastEthernet 0/0.2
Router1(config-subif)#encapsulation dot1q 2
Router1(config-subif)#ip address 192.168.1.254 255.255.255.0
Router1(config)#interface fastEthernet 0/0.3Router1(config)#interface fastEthernet 0/0.3
Router1(config-subif)#encapsulation dot1q 3
Router1(config-subif)#ip address 192.168.2.254 255.255.255.0
ใชคาส�งเพ�อแสดง routing table Router1# Show ip route
Summary
Allows an administrator to logically group devices that act as their own network
Are used to segment broadcast domains
Some benefits of VLANs include Cost reduction, security, higher performance, better managementperformance, better management
Types of Traffic on a VLAN include• Data
• Voice
• Network protocol
• Network management
Trunks A common conduit used by multiple VLANS for intra-VLAN communication
IEEE 802.1Q
• The standard trunking protocol
• Uses frame tagging to identify the VLAN to which a frame belongs• Uses frame tagging to identify the VLAN to which a frame belongs
• Does not tag native VLAN traffic
