VLAN เบื้องต้น

 

VLAN คืออะไร

VLAN (Virtual Area Network) เป็นการจัดแยกการเชื่อมต่อเครือข่ายในรูปแบบที่เรียกว่า Domain ซึ่งจุดประสงค์ของการแยกออกเป็น Domain นี้ ก็เพื่อให้เครื่องคอมพิวเตอร์ที่อยู่ต่าง Domain ไม่สามารถสื่อสารกันได้ทั้งนี้เพื่อความปลอดภัยของเครือข่าย รวมทั้งสามารถเพิ่มประสิทธิภาพการทำงานของเครือข่ายอีกด้วย ในหนึ่งเครือข่ายอาจประกอบด้วย Switching Hub หลาย ๆ ตัว และใน Switching Hub หนึ่งตัวอาจประกอบ
ด้วย VLAN หลาย ๆ Domain หรือหลาย VLAN ก็เป็นได้ การแบ่ง VLAN จะทำให้เครื่องคอมพิวเตอร์แม้จะ
เชื่อมต่อกันใน Switches Hub เดียวกัน แต่อยู่ต่าง VLAN กัน ไม่สามารถสื่อสารกันได้ รวมทั้งไม่สามารถมองเห็นกันได้ด้วยซ้ำไป (รูปที่ 1) และที่แน่นอน หนึ่ง VLAN สามารถกระจายไปตาม Switches Hub ต่าง ๆได้ เช่นกัน ภายใต้ Switches Hub ของ Cisco 1 ตัว สามารถติดตั้ง VLAN ได้มากถึง 64 VLAN และทั้งระบบสามารถมี VLAN ได้มากถึง 1024 VLAN

1

ลักษณะพิเศษของ VLAN ทั่วๆ ไปคือ

  1.  VLAN แต่ละเครือข่ายที่ติดต่อกันนั้น จะมีลักษณะเหมือนกับต่อแยกกันด้วยบริดจ์
  2.  VLAN สามารถต่อข้ามสวิตช์หลายตัวได้
  3.  ท่อเชื่อม (Trunks) ต่างๆ จะรองรับทราฟฟิกที่คับคั่งของแต่ละ VLAN ได้

ประโยชน์ที่จะได้รับจากการทำ VLAN

- จำกัดการแพร่กระจายของ Broadcast traffic ไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของ Networkหรือเรียกว่า 1 VLAN คือ 1 Broadcast Domain นั่นเอง
- สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง Access Control List บนอุปกรณ์ Layer3 และลดความเสี่ยงเกี่ยวกับการดักจับข้อมูล (Sniffing)
- ผู้ใช้สามารถที่จะเคลื่อนย้ายไปยัง VLAN (Subnet) อื่น ๆ ได้โดยเพียงแค่การเปลี่ยน config ของ switchและ IP Address ของ Client เพียงนิดเดียว ไม่จำเป็นต้องมีการย้าย switch หรือ สายใด ๆ
- สามารถรองรับการขยายตัวของระบบ Network ที่จะเพิ่มขึ้นในอนาคตได้ง่าย เนื่องจากมีการวางแผนเกี่ยวกับการทำ sebnet และการ design ระบบที่ไม่ยึดติดกับทางกายภาพอีกต่อไป

- สามารถวิเคราะห์ปัญหาที่เกิดขึ้นในระบบได้ง่ายขึ้น เช่น ในระบบมีการแบ่ง VLAN ไว้ 3 แผนก ได้แก่sale , engineer และ server วันหนึ่ง user ของ sale โทรมาแจ้งปัญหากับ admin ว่าเล่น Internet ไม่ได้ เราเป็นAdmin ควรจะถาม user กลับไปว่าคนอื่นในแผนกเป็นด้วยหรือไม่ ถ้าไม่ก็แสดงว่าเป็นที่เครื่องของ user คนนั้นคนเดียว แต่ถ้าหากเป็นทั้งแผนก ก็ต้องโทรเช็คกับแผนก engineer ด้วยว่าเป็นเหมือนกันหรือไม่ ถ้าไม่เป็น แสดงว่าเป็นที่แผนก sale แผนกเดียว ดังนั้นก็ทำการตรวจเช็คปัญหาที่แผนก sale อย่างเดียว เห็นมั๊ยคะ การวิเคราะห์ปัญหา
ง่ายขึ้นมากและการขอบเขตในการวิเคราะห์ปัญหาก็แคบลง ที่สำคัญตอนการแก้ปัญหาก็ควรนำหลักการ OSI
Layer เข้ามาช่วยนะคะ จะทำให้หาสาเหตุได้เร็วขึ้นคับ

 

ในการสร้าง VLAN นั้น port ของ switch นั้นจะทำหน้าที่อยู่ 2 ประเภท คือ Access port และ Trunk portซึ่งจะมีหน้าที่ในการทำงานต่าง ๆ กันไปตามที่ System Administrator จะเป็นคนกำหนดไว้ ซึ่งหน้าที่หลัก ๆ ของทั้งสองแบบนี้คือ

Access Port
เป็น Port ที่ทำหน้าที่เชื่อมต่อระหว่าง switch จาก Client ไปยัง switch ซึ่งเราจะใช้สาย Lan แบบสายตรงฃ(Straight Through) ในการเชื่อมต่อ และ port ที่ถูก set เป็น Access Port นี้จะมี traffic ของ VLAN เพียง VLANเดียวที่วิ่งผ่านออกมายัง port นี้ หรือ port นี้จะต่ออยู่กับอุปกรณ์ที่มีค่า mac address เพียงค่าเดียวนั่นเอง เช่น
- port ที่ set ระหว่าง switch และ Client
- port ที่ set ระหว่าง switch และ Server
- port ที่ set ระหว่าง switch และ Router (มีข้อแม้ว่า Router ที่เชื่อมต่อนั้น จะต้องไม่ใช่ Router ที่ทำหน้าที่ในการ Route Traffic ของ Inter VLAN)

Trunk Port
เป็น port ที่ทำหน้าที่ connect switch ตัวอื่น ๆ ที่ต้องการให้เป็นสมาชิกของ VLAN ต่าง ๆ กันมาอยู่ด้วยกัน และทำหน้าที่ส่งผ่าน traffic ของหลาย ๆ VLAN ให้กระจายไปยัง switch ตัวอื่น ๆ ที่มี port ที่ถูกกำหนดให้เป็น VLAN เดียวกันกับ switch ตัวต้นทางได้ หรือ ที่เรียกกันโดยทั่วไปว่า Uplink Port หรือจำง่ายๆว่าTrunk port เป็น port ที่มีค่าหลายๆ ค่าวิ่งผ่าน เช่น VLAN หลายๆ VLAN หรือมีค่า Mac address หลายๆ ค่าวิ่ง
ผ่าน นั่นเอง ตัวอย่างในการ set port ให้เป็น Trunk port ก็คือ
- port ที่ทำหน้าที่ connect ไปยัง switch ตัวอื่น ๆ เช่น Uplink Port
- port ที่ทำหน้าที่เชื่อม ไปยัง Router ตัวที่ทำหน้าที่ Route Traffic ระหว่าง VLAN

 

2

สรุป

เนื่องจากช่องโหว่ที่พบนั้นเป็นช่องโหว่ที่อาจจะไม่สามารถจะป้องกันได้เพราะเป็นช่องโหว่ที่เกิดจากทางผู้พัฒนามาตรฐานและผู้ผลิตอุปกรณ์เครือข่าย ฉะนั้นขอแนะนำว่า ไม่ควรใช้ VLAN เพื่อจุดประสงค์ในการรักษาความปลอดภัยของข้อมูลที่ส่งผ่าน เพียงแต่คุณสมบัติที่ดีของ VLAN นั้นก็ทำให้เป็นทางเลือกอีกทางที่น่าใช้ คุณสมบัติดังกล่าวเช่นสามารถทำการแบ่งเครือข่ายง่าย ลดการ broadcast และ ลดความคับคั่ง ( Collision ) เป็นต้น