Network
Vlan Configuration Guide
Vlan Configuration Guide คืออะไร / ทำไมถึงสำคัญ
VLAN หรือ Virtual LAN เนี่ย เปรียบเสมือนการแบ่งห้องในบ้านหลังใหญ่ให้เป็นห้องย่อยๆ โดยที่แต่ละห้องเนี่ย เหมือนเป็นเครือข่ายอิสระต่อกัน แต่ทั้งหมดอยู่บนสวิตช์ตัวเดียวกัน สมัยผมทำร้านเน็ต SiamCafe.net เนี่ย VLAN ช่วยชีวิตผมไว้เยอะเลย เพราะว่าเราต้องแบ่งเครือข่ายสำหรับลูกค้า กับเครือข่ายสำหรับเครื่องคิดเงิน และเครื่องเซิร์ฟเวอร์ ให้มันแยกออกจากกัน เพื่อความปลอดภัย และความเร็ว
ทำไมถึงสำคัญน่ะเหรอ? ลองนึกภาพว่า ถ้าทุกคนในร้านเน็ตคุณ ใช้เครือข่ายเดียวกันหมด ใครคนนึงติดไวรัส ก็ลามไปทั้งร้าน หรือใครแอบ sniff ข้อมูล ก็เห็นหมดสิครับ VLAN เลยเข้ามาช่วยตรงนี้แหละ แบ่งแยกการจราจร ลดปัญหา Broadcast Storm แถมยังช่วยเรื่อง Security อีกด้วย
พื้นฐานที่ต้องรู้
VLAN ID
VLAN แต่ละตัว จะมี ID เป็นตัวเลข ตั้งแต่ 1 ถึง 4094 (แต่บางช่วงเลขก็ถูกสงวนไว้) เวลาเราคอนฟิกสวิตช์ ก็ต้องกำหนด VLAN ID ให้ถูกต้อง ไม่งั้นมันจะสื่อสารกันไม่ได้ สมัยก่อน ผมเคยพลาดใส่ VLAN ID ผิด ชีวิตวุ่นวายไปหมด ต้องมานั่งไล่ดูทีละพอร์ตเลย
Trunking
Trunking คือการที่เราส่ง VLAN หลายๆ ตัว ผ่านสาย LAN เส้นเดียว ปกติแล้ว สาย LAN จะส่งได้แค่ VLAN เดียว แต่ถ้าเราทำ Trunking เราสามารถส่ง VLAN ได้หลายตัวพร้อมกัน ทำให้ประหยัดสาย และลดความซับซ้อนในการเชื่อมต่อ เวลาต่อสวิตช์หลายๆ ตัว เราจะต้องใช้ Trunking นี่แหละ
Access Port vs. Trunk Port
Access Port คือพอร์ตที่เชื่อมต่อกับอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์ หรือเครื่องพิมพ์ พอร์ตพวกนี้จะอยู่ใน VLAN เดียวเท่านั้น ส่วน Trunk Port คือพอร์ตที่เชื่อมต่อระหว่างสวิตช์ หรือระหว่างสวิตช์กับเราเตอร์ พอร์ตพวกนี้จะรองรับ VLAN หลายตัว
วิธีใช้งาน / เริ่มต้นยังไง
การใช้งาน VLAN ไม่ได้ยากอย่างที่คิดครับ สิ่งที่ต้องมีคือ สวิตช์ที่รองรับ VLAN (สมัยนี้ส่วนใหญ่รองรับหมดแล้ว) แล้วก็ความเข้าใจพื้นฐานที่ผมเล่าให้ฟังไปเมื่อกี้นี้แหละ เริ่มต้นจากการวางแผนก่อนเลย ว่าเราจะแบ่ง VLAN อะไรบ้าง แต่ละ VLAN จะมีอุปกรณ์อะไรบ้าง แล้วก็คอนฟิกสวิตช์ตามแผนที่เราวางไว้
ขั้นตอนปฏิบัติจริง
Configuration Example (Cisco Switch)
ผมยกตัวอย่างการคอนฟิก VLAN บน Cisco Switch ให้ดูนะครับ สมัยก่อนผมใช้ Cisco เยอะมาก เพราะมันทนไม้ทนมือดี
enable
configure terminal
!
vlan 10
name Customer_Network
!
vlan 20
name Server_Network
!
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10
!
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20
!
interface GigabitEthernet0/24
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20
!
end
write memory
โค้ดข้างบนนี้ คือการสร้าง VLAN 2 ตัว คือ VLAN 10 (สำหรับลูกค้า) และ VLAN 20 (สำหรับ Server) แล้วก็กำหนดให้พอร์ต GigabitEthernet0/1 อยู่ใน VLAN 10, พอร์ต GigabitEthernet0/2 อยู่ใน VLAN 20 และพอร์ต GigabitEthernet0/24 เป็น Trunk Port ที่รองรับทั้ง VLAN 10 และ VLAN 20
Verification
หลังจากคอนฟิกเสร็จแล้ว เราต้องตรวจสอบว่าทุกอย่างทำงานถูกต้อง โดยใช้คำสั่ง show vlan brief เพื่อดูว่า VLAN ถูกสร้างขึ้นมาแล้วหรือยัง และพอร์ตต่างๆ อยู่ใน VLAN ที่ถูกต้องหรือไม่
show vlan brief
ถ้าทุกอย่างถูกต้อง คอมพิวเตอร์ที่อยู่ใน VLAN เดียวกัน จะสามารถสื่อสารกันได้ แต่คอมพิวเตอร์ที่อยู่ใน VLAN ต่างกัน จะไม่สามารถสื่อสารกันได้ (ถ้าเราไม่คอนฟิก Routing ระหว่าง VLAN)
เปรียบเทียบกับทางเลือกอื่น
นอกจาก VLAN แล้ว ก็ยังมีเทคโนโลยีอื่นๆ ที่ช่วยแบ่งแยกเครือข่ายได้เหมือนกัน เช่น Subnetting หรือ Firewall แต่ละวิธีก็มีข้อดีข้อเสียต่างกันไป ลองดูตารางเปรียบเทียบนี้ครับ
| คุณสมบัติ | VLAN | Subnetting | Firewall |
|---|---|---|---|
| การแบ่งแยกเครือข่าย | Layer 2 (Data Link) | Layer 3 (Network) | Layer 4-7 (Transport - Application) |
| ความซับซ้อน | ปานกลาง | ง่าย | ซับซ้อน |
| ความปลอดภัย | ปานกลาง | ต่ำ | สูง |
| การจัดการ | ง่าย | ง่าย | ยาก |
VLAN เหมาะสำหรับแบ่งแยกเครือข่ายภายในองค์กร Subnetting เหมาะสำหรับแบ่ง Network address ให้เป็นส่วนๆ Firewall เหมาะสำหรับป้องกันการโจมตีจากภายนอก และควบคุมการเข้าถึงเครือข่าย
ถ้าอยากรู้เรื่อง Network เพิ่มเติม ลองเข้าไปดูที่ SiamCafe Blog ได้เลยครับ มีบทความดีๆ อีกเยอะเลย
สมัยก่อนตอนทำร้านเน็ต ผมก็ต้องคอยอัพเดทความรู้เรื่อง Network อยู่ตลอด เพราะเทคโนโลยีมันเปลี่ยนเร็วมาก ถ้าไม่อัพเดท เดี๋ยวจะตามคนอื่นไม่ทัน
หวังว่าบทความนี้จะเป็นประโยชน์กับทุกคนนะครับ ถ้ามีคำถามอะไร ถามมาได้เลย ผมยินดีตอบ
อย่าลืมแวะไปอ่านบทความอื่นๆ ที่ SiamCafe Blog นะครับ มีเรื่อง IT สนุกๆ อีกเยอะเลย
Best Practices / เคล็ดลับจากประสบการณ์
สมัยผมทำร้านเน็ต SiamCafe เนี่ย เรื่อง VLAN นี่สำคัญมากเลยนะ เพราะต้องแบ่งวง LAN ให้เครื่องลูกข่าย, เครื่อง Server, และเครื่องคิดเงินออกจากกัน เพื่อความปลอดภัย และความเสถียรของระบบ
VLAN ไม่ใช่แค่เรื่อง Config อย่างเดียวนะ มันคือเรื่องการจัดการ network ทั้งระบบเลย ลองนึกภาพว่าถ้าเราไม่แบ่ง VLAN เลย ทุกเครื่องในร้านจะอยู่ในวง LAN เดียวกัน ใครติดไวรัสมาทีนึง ก็ลามกันทั้งร้านเลยจ้า
3-4 เทคนิคที่ใช้ได้จริง
1. ตั้งชื่อ VLAN ให้สื่อความหมาย
อย่าตั้งชื่อ VLAN มั่วๆ เช่น VLAN1, VLAN2 นะครับ ให้ตั้งชื่อที่สื่อความหมาย เช่น VLAN-Client, VLAN-Server, VLAN-Cashier จะช่วยให้เราจำได้ง่าย และจัดการได้สะดวกขึ้นเยอะเลย
2. กำหนด IP Address Range ให้ชัดเจน
กำหนด IP Address Range ให้แต่ละ VLAN ชัดเจน เช่น VLAN-Client ใช้ 192.168.1.0/24, VLAN-Server ใช้ 192.168.2.0/24 จะช่วยให้เราจัดการ IP Address ได้ง่าย และป้องกัน IP Address ชนกันได้
3. ใช้ Port Security ป้องกันการ Spoofing
Port Security เป็น Feature ที่ช่วยป้องกันการ Spoofing ได้ คือจำกัดว่าแต่ละ Port บน Switch สามารถใช้ MAC Address ได้กี่ Address เท่านั้น ถ้ามี MAC Address อื่นมาเชื่อมต่อ จะถูก Block ทันที
switchport port-security
switchport port-security maximum 1
switchport port-security violation restrict
switchport port-security mac-address sticky
เคยเจอเคสเด็กในร้านแอบเอา Router มาต่อเพื่อเล่นเกมส์ แล้ว IP Address มันชนกันทั้งร้านเลย พอใช้ Port Security แล้วปัญหาพวกนี้หายไปเลย
4. Monitor Traffic อย่างสม่ำเสมอ
ควร Monitor Traffic ในแต่ละ VLAN อย่างสม่ำเสมอ เพื่อตรวจจับความผิดปกติ เช่น Traffic ที่สูงผิดปกติ หรือ Packet ที่ผิดปกติ ถ้าเจออะไรผิดปกติ จะได้แก้ไขได้ทันท่วงที สมัยก่อนผมใช้โปรแกรม MRTG ในการ Monitor Traffic นี่แหละ
FAQ คำถามที่พบบ่อย
ทำไมต้องใช้ VLAN?
VLAN ช่วยแบ่ง Network เป็นส่วนๆ ทำให้ Network มีความปลอดภัยมากขึ้น, ลด Broadcast Domain, และจัดการได้ง่ายขึ้น ลองนึกภาพว่าเหมือนเราแบ่งห้องในบ้านน่ะครับ แต่ละห้องก็มีหน้าที่ของมัน
VLAN ต่างจาก Subnet ยังไง?
VLAN เป็น Layer 2 Technology ที่ใช้ในการแบ่ง Network โดยอาศัย Switch ส่วน Subnet เป็น Layer 3 Technology ที่ใช้ในการแบ่ง Network โดยอาศัย Router หรือ Layer 3 Switch
Switch ทุกตัวรองรับ VLAN ไหม?
ไม่ครับ Switch บางตัว (เช่น Switch Hub ราคาถูก) ไม่รองรับ VLAN ดังนั้นก่อนซื้อ Switch ต้องตรวจสอบให้ดีก่อนว่ารองรับ VLAN หรือไม่
VLAN Trunking คืออะไร?
VLAN Trunking คือการส่ง Traffic ของหลาย VLAN ผ่าน Link เดียวกัน โดย Switch จะใส่ Tag (VLAN ID) ลงใน Packet เพื่อบอกว่า Packet นั้นมาจาก VLAN อะไร
สรุป
VLAN เป็น Technology ที่สำคัญมากในการจัดการ Network โดยเฉพาะอย่างยิ่งในร้าน Internet Cafe ที่มีเครื่องจำนวนมาก การใช้ VLAN จะช่วยให้ Network มีความปลอดภัยมากขึ้น, ลด Broadcast Domain, และจัดการได้ง่ายขึ้น ลองเอาเทคนิคที่ผมแชร์ไปปรับใช้ดูนะครับ แล้วจะรู้ว่าชีวิตง่ายขึ้นเยอะเลย
อย่าลืมเข้าไปดู iCafeForex สำหรับข้อมูลเพิ่มเติมเกี่ยวกับธุรกิจร้านอินเทอร์เน็ตคาเฟ่ และ SiamCafe Blog เพื่ออ่านบทความอื่นๆ ที่เป็นประโยชน์นะครับ
