Virtual LAN

จากวิกิพีเดีย สารานุกรมเสรี

บทความนี้มีชื่อเป็นภาษาอังกฤษ เนื่องจากยังไม่มีชื่อภาษาไทยที่กระชับ เหมาะสม หรือไม่รู้วิธีอ่านในภาษาไทย

บทความนี้ต้องการเก็บกวาด โดยการตรวจสอบหรือปรับปรุงความถูกต้อง แก้ไขรูปแบบหรือภาษาที่ใช้ ตลอดจนแก้ไขหรือเพิ่มเติมเนื้อหา หมวดหมู่ ลิงก์ภายใน หรือแหล่งอ้างอิง ในบางส่วนหรือหลายส่วน ทั้งนี้ เพื่อให้เป็นไปตามมาตรฐานวิกิพีเดียไทย และคุณสามารถช่วยแก้ไขปรับปรุงบทความนี้ได้ กรุณาเปลี่ยนไปใช้ป้ายข้อความอื่น เพื่อระบุสิ่งที่ต้องการตรวจสอบ หรือแก้ไข และให้นำป้ายนี้ออก รายละเอียดเพิ่มเติม วิธีแก้ไขหน้าพื้นฐาน - คู่มือการเขียน - การเขียนบทความให้ดียิ่งขึ้น - ป้ายนี้มีไว้เพื่ออะไร

Virtual LAN หรือ VLAN เหมือนการสร้าง logical segment สวิสต์ตัวหนึ่งสามารถแบ่งออกมาเป็นหลายๆ vlanได้ เหมือนมีswitchหลายตัวหรือมีhubหลายตัว แต่จริงๆมีแค่ตัวเดียวแล้วก็แบ่งซอยออกมา โดยมากแบ่งตามพื้นที่ใช้งาน แบ่งตามแผนก แบ่งตามหน่วยงาน แบ่งตามลักษณะการใช้งาน การจำลองสร้างเครือข่าย LAN แต่ไม่ขึ้นอยู่กับการต่อทางกายภาพเช่น สวิตช์หนึ่งตัวสามารถใช้จำลองเครือข่าย LAN ได้สิบเครือข่าย หรือสามารถใช้สวิตช์สามตัวจำลองเครือข่าย LAN เพียงหนึ่งเครือข่าย เป็นต้น การแบ่งกลุ่มของสวิตซ์ภายในเลเยอร์ 2 ที่ไม่ขึ้นกับ ลักษณะทางกายภาพใดๆ กล่าวแบบง่ายๆ ก็คือ เราไม่จำเป็นที่จะต้องนำสวิตซ์มาต่อกันเป็น ทอดๆ เพื่อจัดกลุ่มของสวิตซ์ว่า สวิตซ์กลุ่มนี้คือ กลุ่มเดียวกัน แต่ เราสามารถที่จะ จัดกลุ่มให้ สวิตซ์ที่อยู่ห่างไกลกันออกไปนั้น เป็นสมาชิกของสวิตซ์อีกกลุ่มหนึ่งทางแนวตรรกกะ

เนื้อหา 1 Broadcast domain 2 ชนิดของ VLAN 2.1 Static 2.2 Dynamic 3 Trunk Port 4 ข้อดีและข้อเสียของการทำ VLAN 4.1 ข้อดีของการทำ VLAN 4.2 ข้อเสียของการทำvlan 5 communication ระหว่างvlan 6 มาตรฐานของVLAN 7 แหล่งข้อมูลอื่น

[แก้] Broadcast domain

กลุ่มของพอร์ตหรือuserที่อยู่ในBroadcast Domainเดียวกัน ส่วน broadcast domain นั้นจะเกี่ยวข้องกับการทำงานของ switch เป็นหลัก คือว่าโดยปกติแล้ว switch นั้นจะทำหน้าที่ตัดสินใจเลือกเส้นทางให้กับ frame ที่รับเข้ามาว่าจะส่งออกไปทาง port ไหน โดยที่พิจารณาจาก switch table แต่หาก switch table ไม่มีข้อมูลที่เกี่ยวข้องกับ frame นั้นเลย switch จะส่ง frame นั้นออกไปยังทุก port ที่มีการเชื่อมต่อกับ switch วิธีการดังกล่าวเรียกว่า การ broadcast ซึ่งสิ่งนี้เป็นที่มาของคำว่า broadcast domain ที่หมายความว่าเป็นขอบเขตที่ switch จะสามารถส่ง frame ไปได้ ซึ่งอุปกรณ์ที่จำกัดขอบเขตของ broadcast domain คือ router

Broadcast domain คือถ้ามีเครื่องหนึ่งส่งออกไปเครื่องอื่นที่รับได้และอยู่ในbroadcastเดียวกันแต่ถ้าอยู่คนละbroadcast domain มันก็จะอยู่คนละ lan เช่น เรามีrouter 2ขา 2lan และ lan มี2วงในความหมายในทางvlanเราอาจจะไม่ใช้router เราใช้switchตัวเดียว แต่แบ่งเป็น 2 วง แต่อยู่คนละbroadcast domain เดียวกัน ตัวvlanมีหลายชนิดอาจจะใช้ port ID,Mac Address,protocal หรือApplication ตัวApplication นั้นเป็นตัวแยกแยะว่าเครื่องนี้อยู่vlanอะไร โดยส่วนมากจะใช้ port ID มากกว่าถ้าเครื่องไหนต่อกับ port ที่อยู่กับvlanไหน เครื่องนั้นก็จะเป็นnumberนั้น เช่น port5 ของswitch config เป็นvlan10 เครื่องที่เราต่ออยู่กับport5 เป็น numberของvlan10 ไปโดยอัตโนมัติ

ถ้าไม่มีrouterจะคุ๋ยได้กลายมาเป็นbroadcast domainเดียวกัน เท่ากับว่ายุบ 2 อันมาเป็นอันเดียวกัน switch2ตัวนี้ยังไม่ได้config อะไรที่เกี่ยวกับvlan เพราะฉะนั้น switch default ของมันคือ ทุกport default ของมันnumber1 อยู่เสมอ มันจะไปconfigทุกอันเป็นnumber1หมด จึงจะทำให้คุยกันได้ แต่การคุยกันจะมองเป็นbroadcast เดียวกัน หรือ segmentเดียวกัน แต่ถ้ามีการconfig แล้วจะต้องมีการคุยกันปผ่านrouterเท่านั้น แต่ถ้าไม่มีswitch ซื้อswitchมา1ตัวแล้วแบ่งswitchออกมาเป็น 3 ส่วน vlan

3เส้นเป็นvlanของEngineering, 3เส้นเป็นvlanของmarketing, 3เส้นเป็นของsaleคุยกันไม่ได้เหมือนswitch ถ้าถูกแบ่งออกมาเป็น 3 ซีก 4 ซีก ทำยังไงก็คุยกันได้ ก็ต้องผ่านrouter และrouterต้องต่อผ่านinterface

[แก้] ชนิดของ VLAN

โดยค่าดีฟอล์ท (Default) ทุกๆ พอร์ทของสวิตซ์นั้น จะถูกจัดให้อยู่ใน VLAN 1 หรือ ที่เรียกกันว่า “Management VLAN” ซึ่ง ในการสร้าง-แก้ไข-ลบ VLAN นั้น เราจะไม่สามารถลบ VLAN 1 นี้ได้ และ หมายเลข VLAN นี้ สามารถสร้างได้ตั้งแต่หมายเลข 1 – 1005

[แก้] Static

สแตติก VLAN หรือ อีกชื่อหนึ่งคือ Port-Based Membership นั้น จะเป็นการพิจารณาความเป็นสมาชิกของ VLAN หนึ่งๆ โดยดูจากพอร์ท ซึ่งพอร์ทของสวิตซ์ที่เชื่อมต่ออยู่กับ Client นั้น ถึงแม้ว่าจะเป็น พอร์ทของสวิตซ์เดียวกัน แต่หากพอร์ททั้งสองนั้นอยู่คนละ VLAN กัน ก็ไม่สามารถที่จะติดต่อกันได้ หากไม่มีอุปกรณ์ในเลเยอร์ 3 มาช่วยในการเราท์ทราฟฟิก ซึ่ง การเซตพอร์ทแต่ละพอร์ทให้เป็นสมาชิกของ VLAN ใดๆ นั้น จะถูกกระทำแบบ Manual จาก System Administrator

[แก้] Dynamic

ไดนามิค VLAN เป็นการกำหนด VLAN ให้กับเครื่องClient โดยพิจารณาจากหมายเลข MAC Address ของ Client ซึ่งเมื่อ Client ทำการเชื่อมต่อไปยังสวิตซ์ตัวใดๆ สวิตซ์ที่รัน Dynamic VLAN นี้ก็จะไปหาหมายเลข VLAN ที่ MAP กับ MAC Address นี้จาก Database ส่วนกลางมาให้ ซึ่ง System Administrator สามารถที่จะเซตหมายเลข MAC Address ในการจับคู่กับ VLAN ได้ที่ VLAN Management Policy Server (VMPS)

[แก้] Trunk Port

เป็นพอร์ททำหน้าที่ คอนเนคสวิตซ์ตัวอื่นๆ ที่ต้องการให้เป็นสมาชิกของ VLAN ต่างๆกัน มาอยู่ด้วยกัน และ ทำหน้าที่ ส่งผ่านทราฟฟิกของ หลายๆ VLAN ให้ กระจายไปยังสวิตซ์ตัวอื่นๆ ที่มีพอร์ทที่ถูกกำหนดให้เป็น VLAN เดียวกันกับสวิตซ์ตัวต้นทางได้ หรือที่เรียกกันโดยทั่วไปว่า UPLINK PORT ซึ่ง ตัวอย่างในการเซตพอร์ทให้เป็น Trunk Port นี้ ก็คือ

- พอร์ทที่ทำหน้าที่คอนเนคไปยังสวิตซ์ตัวอื่นๆ เช่น UPLINK PORT

- พอร์ทที่ทำหน้าที่เชื่อมไปยัง เราเตอร์ตัวที่ทำหน้า เราท์ทราฟฟิกระหว่าง VLAN

[แก้] ข้อดีและข้อเสียของการทำ VLAN

[แก้] ข้อดีของการทำ VLAN

1.เพิ่มประสิทธิภาพของเครือข่าย จำกัดการแพร่กระจายของbroadcastทราฟฟิคไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก

2.ง่ายต่อการใช้งาน ผู้ใช้งานสามารถที่จะเคลื่อนย้ายไปยัง VLAN (Subnet) อื่นๆ ได้โดยเพียงแค่การเปลี่ยนคอนฟิกของสวิตซ์และ IP Address ของ Client เพียงนิดเดียว ไม่จำเป็นต้องมีการย้ายสวิตซ์ หรือสายเคเบิลใดๆ

3.เพิ่มเครื่องง่าย สามารถรองรับการขยายตัวของระบบเน็ตเวิร์กที่จะเพิ่มขึ้นในอนาคตได้ง่าย เนื่องจากมีการวางแผนเกี่ยวกับการทำซับเน็ต และการดีไซน์ระบบที่ไม่ยึดติดกับทางกายภาพอีกต่อไป

4.เพิ่มเรื่องของความปลอดภัย สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง Access Control List บนอุปกรณ์เลเยอร์ 3 และ ลดความเสี่ยงเกี่ยวกับการดักจับข้อมูล (Sniffing)

[แก้] ข้อเสียของการทำvlan

1. ถ้าเป็นการแบ่ง VLAN แบบ port-based นั้นจะมีข้อเสียเมื่อมีการเปลี่ยนพอร์ตนั้นอาจจะต้องทำการคอนฟิก VLAN ใหม่

2. ถ้าเป็นการแบ่ง VLAN แบบ MAC-based นั้นจะต้องให้ค่าเริ่มต้นของ VLAN membership ก่อน และปัญหาที่เกิดขึ้นคือในระบบเครือข่ายที่ใหญ่มาก จำนวนเครื่องนับพันเครื่อง นอกจากนี้ถ้ามีการใช้เครื่อง Notebook ด้วย ซึ่งก็จะมีค่า MAC และเมื่อทำการเปลี่ยนพอร์ตที่ต่อก็ต้องทำการคอนฟิก VLAN ใหม่

[แก้] communication ระหว่างvlan

vlanก็คือlanวงหนึ่ง lan2ตัวจะคุยกันตรงๆไม่ได้ต้องผ่านrouter และrouterทำหน้าที่routing subnetจากlanวงหนึ่งไปอีก subnet vlanสร้างขึ้นมา vlan2,3,4,5จะคุยกันไม่ได้ต้องผ่านrouter โดยมีวิธีแก้ มีvlanเชื่อมต่อไปที่ไปที่routerมีvlan1 เป็นvlan2 vlan2มาเชื่อมกับrouterมีกี่vlanก็ต้องมีlinkไปที่routerถ้าทำแบบนี้มันจะราคาแพง แต่วิธีนี้ไม่ดี routerทำงานหนัก เราต้องทำแบบlogical link เรามีphysical link ให้มันอันเดียว แล้วเราสร้างเป็นlogical link ยุบรวมให้เหลือเส้นเดียวให้วิ่งหลายๆ vlan ในเส้นเดียวเราเรียกแบบนี้ Trunking โดยใช้software เข้ามาควบคุม การเอา layer3 เข้ามาให้มันมีการเพิ่มความปลอดภัยของการmanagement

1.แทนที่จะใช้physicalหลายอันเราก็ใช้physicalอันเดียวประหยัดport

2.1 link ได้ 255vlan ทำให้ระหว่างvlanคุยกันได้ ถ้าเกิดเรามีswitchหลายๆตัว 3,4,5,6ตัว ในswitchแต่ละตัวก็มีการconfig vlanเอาไว้ อาจจะเหมือนหรืออาจจะต่างกัน

[แก้] มาตรฐานของVLAN

มาตรฐาน IEEE 802.1Q นั้นเป็นมาตรฐานในการนำข้อมูลของ VLAN membership ใส่เข้าไปใน Ethernet Frame หรือที่เรียกว่า การ Tagging และโพรโทคอล 802.1Q นี้ถูกพัฒนาเพื่อแก้ปัญหาเรื่องการบริหารจัดการด้านเครือข่ายที่เพิ่มขึ้น เช่น การกระจายเครือข่ายใหญ่ๆ ให้เป็นส่วนย่อยๆ (Segment) ทำให้ไม่สูญเสียแบนวิธให้กับการ broadcast และ multicast มากเกินไป และยังเป็นการรักษาความปลอดภัยระหว่างส่วนย่อยต่างๆ ภายในเครือข่ายให้สูงขึ้นอีกด้วย การต่อเติมเฟรม (tagging Frame) ด้วยมาตรฐาน 802.1Q นั้นจะทำในระดับ Data-Link layer และการทำ VLAN Tagging นั้นจะเป็นการเปลี่ยนรูปแบบของ Ethernet Frame มาตรฐาน 802.3 ให้เป็นรูปแบบใหม่ที่เป็นมาตรฐาน 802.3 ac

[แก้] แหล่งข้อมูลอื่น

• msit.mut.ac.th เว็บปริญญาโทมหาวิทยาลัยมหานคร (ไทย)
• ทำความรู้จักกับ VLAN กิติศักดิ์ จิรวรรณกูล (ไทย)