VLAN คืออะไร วิธีแบ่ง Network ให้ปลอดภัย

VLAN คืออะไร? ไขความลับการแบ่ง Network ให้ปลอดภัยกว่าเดิม

ลองนึกภาพออฟฟิศขนาดใหญ่ที่มีพนักงานหลายแผนก แต่ละแผนกก็ต้องการความปลอดภัยและความเป็นส่วนตัวในข้อมูลของตัวเอง ถ้าเราปล่อยให้ทุกคนอยู่ใน Network เดียวกันหมด โอกาสที่ข้อมูลจะรั่วไหลหรือถูกเข้าถึงโดยไม่ได้รับอนุญาตก็มีสูงมากใช่ไหมครับ? นี่แหละครับคือจุดเริ่มต้นของ VLAN (Virtual LAN) เทคโนโลยีที่เข้ามาช่วยแก้ปัญหานี้ได้อย่างตรงจุด VLAN ไม่ใช่เรื่องใหม่ แต่ยังคงเป็นหัวใจสำคัญของการออกแบบ Network ที่มีประสิทธิภาพและปลอดภัย โดยเฉพาะในยุคที่การโจมตีทางไซเบอร์มีความซับซ้อนและถี่ขึ้นเรื่อยๆ สถิติจากหลายแหล่งชี้ให้เห็นว่า การแบ่ง Segmentation Network ที่ดี ช่วยลดความเสียหายจากเหตุการณ์ Security Incident ได้อย่างมีนัยสำคัญ บางรายงานบอกว่าสามารถลดความเสียหายได้ถึง 60-80% เลยทีเดียว ตัวเลขนี้แสดงให้เห็นว่า VLAN ไม่ใช่แค่เรื่องทางเทคนิค แต่เป็นเรื่องของ Business Continuity และ Risk Management ด้วย ผมเคยเจอเคสที่บริษัทหนึ่งโดน Ransomware เล่นงาน เพราะ Network ไม่มีการแบ่ง Segmentation ที่ดี ทำให้ Ransomware แพร่กระจายไปทั่วทั้ง Network อย่างรวดเร็ว สร้างความเสียหายมหาศาล ถ้าวันนั้นเขามี VLAN แบ่งแยก Server สำคัญออกจาก Workstation ทั่วไป ความเสียหายคงไม่มากขนาดนี้ นี่เป็นบทเรียนราคาแพงที่ทำให้ผมตระหนักถึงความสำคัญของ VLAN มากยิ่งขึ้น VLAN คือการสร้าง Network เสมือน (Virtual) หลายๆ Network ภายใน Physical Network เดียวกัน โดยใช้ Switch เป็นอุปกรณ์หลักในการจัดการ ลองคิดดูนะ เหมือนเรามีบ้านหลังใหญ่ แต่แบ่งห้องต่างๆ ออกเป็นสัดส่วน แต่ละห้องก็มีประตูและกุญแจของตัวเอง ทำให้คนที่อยู่ในห้องหนึ่งไม่สามารถเดินเข้าไปในอีกห้องหนึ่งได้โดยง่าย VLAN ก็ทำหน้าที่คล้ายกัน คือแบ่ง Network ออกเป็นส่วนๆ ทำให้ Traffic ที่เกิดขึ้นใน VLAN หนึ่ง ไม่สามารถมองเห็นหรือเข้าถึง VLAN อื่นได้โดยตรง ช่วยลด Broadcast Domain และเพิ่มความปลอดภัยให้กับ Network ของเรา

พื้นฐานความรู้เกี่ยวกับ VLAN ที่คุณต้องรู้

ก่อนจะไปถึงวิธีการติดตั้งและใช้งาน VLAN เรามาทำความเข้าใจพื้นฐานที่สำคัญกันก่อนนะครับ มีหลายเรื่องที่เราต้องรู้ ไม่ว่าจะเป็น VLAN ID, Trunking และ Access Port ซึ่งเป็นส่วนประกอบสำคัญที่ทำให้ VLAN ทำงานได้อย่างมีประสิทธิภาพ

VLAN ID: ตัวเลขมหัศจรรย์ที่กำหนด Network เสมือน

VLAN ID คือตัวเลขที่ใช้ระบุ VLAN แต่ละตัวใน Network โดยปกติ VLAN ID จะมีค่าตั้งแต่ 1 ถึง 4094 (ตามมาตรฐาน 802.1Q) แต่ VLAN ID 1 มักจะเป็น Default VLAN ที่มีอยู่แล้วใน Switch ส่วน VLAN ID 4095 จะถูกสงวนไว้ ดังนั้น VLAN ที่เราสามารถใช้งานได้จริงคือ VLAN ID 2 ถึง 4094 VLAN ID เป็นเหมือนป้ายชื่อที่ติดอยู่กับทุก Frame (ข้อมูล) ที่ส่งผ่าน Network เมื่อ Switch ได้รับ Frame ที่มี VLAN ID Switch จะตรวจสอบว่า Port ที่ Frame นั้นเข้ามาอยู่ใน VLAN ID เดียวกันหรือไม่ ถ้าอยู่ใน VLAN ID เดียวกัน Switch ก็จะส่ง Frame นั้นไปยัง Port อื่นๆ ที่อยู่ใน VLAN ID เดียวกัน แต่ถ้าไม่อยู่ใน VLAN ID เดียวกัน Switch ก็จะไม่ส่ง Frame นั้นไปยัง Port นั้นๆ การกำหนด VLAN ID ที่ดี ควรมีการวางแผนล่วงหน้า เพื่อให้ง่ายต่อการจัดการและแก้ไขปัญหาในอนาคต เช่น กำหนด VLAN ID 10 สำหรับแผนกบัญชี VLAN ID 20 สำหรับแผนก IT และ VLAN ID 30 สำหรับแผนก Marketing เป็นต้น การตั้งชื่อ VLAN ให้สื่อความหมายก็เป็นสิ่งสำคัญ เช่น "Accounting_VLAN" หรือ "IT_Department_VLAN" จะช่วยให้เราเข้าใจได้ง่ายขึ้นว่า VLAN นั้นๆ มีไว้สำหรับอะไร

Trunking: ทางด่วนเชื่อมต่อ VLAN ข้าม Switch

Trunking คือเทคนิคที่ช่วยให้เราสามารถส่ง Traffic ของหลายๆ VLAN ผ่าน Link เดียวกันได้ โดยปกติแล้ว Port ของ Switch จะถูกกำหนดให้เป็น Access Port ซึ่งจะอนุญาตให้ Traffic ของ VLAN เดียวเท่านั้นที่ผ่านได้ แต่ถ้าเราต้องการเชื่อมต่อ VLAN ที่อยู่บน Switch คนละตัวกัน เราจะต้องใช้ Trunking เพื่อให้ Traffic ของทุก VLAN สามารถเดินทางข้าม Switch ไปมาได้ Trunking ทำงานโดยการเพิ่ม Tag (VLAN ID) ลงใน Frame แต่ละ Frame ก่อนที่จะส่งออกไป เมื่อ Switch ปลายทางได้รับ Frame ที่มี Tag Switch จะอ่าน Tag นั้น แล้วส่ง Frame นั้นไปยัง Port ที่อยู่ใน VLAN ID เดียวกัน Tag ที่เพิ่มเข้าไปนี้เป็นไปตามมาตรฐาน IEEE 802.1Q ซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลายในปัจจุบัน การ Config Trunking บน Switch แต่ละยี่ห้ออาจจะแตกต่างกันเล็กน้อย แต่หลักการพื้นฐานจะเหมือนกัน คือเราจะต้องกำหนด Port ที่จะใช้เป็น Trunk Port แล้วอนุญาตให้ VLAN ที่ต้องการส่งผ่าน Trunk Port นั้นๆ ตัวอย่างเช่น ถ้าเราต้องการให้ VLAN ID 10, 20 และ 30 สามารถส่งผ่าน Trunk Port ได้ เราจะต้อง Config Trunk Port ให้ Allow VLAN ID เหล่านั้น

Access Port: ประตูสู่โลกของ VLAN สำหรับอุปกรณ์ปลายทาง

Access Port คือ Port ของ Switch ที่เชื่อมต่อกับอุปกรณ์ปลายทาง เช่น คอมพิวเตอร์, เครื่องพิมพ์ หรือโทรศัพท์ IP โดย Access Port จะถูกกำหนดให้เป็นสมาชิกของ VLAN ใด VLAN หนึ่ง เมื่ออุปกรณ์ที่เชื่อมต่อกับ Access Port ส่ง Traffic ออกมา Switch จะทำการ Tag Traffic นั้นด้วย VLAN ID ที่กำหนดไว้ให้กับ Access Port นั้นๆ Access Port เป็นเหมือนประตูที่เปิดให้อุปกรณ์ปลายทางเข้าสู่โลกของ VLAN การ Config Access Port ที่ถูกต้องเป็นสิ่งสำคัญมาก เพื่อให้มั่นใจว่าอุปกรณ์ปลายทางจะอยู่ใน VLAN ที่ถูกต้อง และสามารถสื่อสารกับอุปกรณ์อื่นๆ ที่อยู่ใน VLAN เดียวกันได้ การ Config Access Port ทำได้ง่าย โดยเราจะต้องเลือก Port ที่ต้องการ Config แล้วกำหนด VLAN ID ที่ต้องการให้ Port นั้นเป็นสมาชิก ตัวอย่างเช่น ถ้าเราต้องการให้ Port 1 เป็นสมาชิกของ VLAN ID 10 เราจะต้อง Config Port 1 ให้เป็น Access Port และกำหนด VLAN ID เป็น 10

🎬 YouTube @icafefx

วิธีติดตั้งและใช้งาน VLAN: Step-by-Step พร้อมตัวอย่าง

มาถึงส่วนสำคัญที่สุด นั่นคือการติดตั้งและใช้งาน VLAN จริงๆ ผมจะยกตัวอย่างการ Config VLAN บน Cisco Switch ซึ่งเป็น Switch ที่นิยมใช้กันในองค์กร แต่หลักการ Config VLAN บน Switch ยี่ห้ออื่นๆ ก็คล้ายๆ กันนะครับ **ตารางสรุปคำสั่ง VLAN บน Cisco Switch** | คำสั่ง | คำอธิบาย | | ---------------------------------------- | ------------------------------------------------------------------------- | | `enable` | เข้าสู่ Privileged EXEC Mode | | `configure terminal` | เข้าสู่ Global Configuration Mode | | `vlan ` | สร้าง VLAN ใหม่ | | `name ` | กำหนดชื่อให้กับ VLAN | | `interface ` | เลือก Interface ที่ต้องการ Config | | `switchport mode access` | กำหนด Interface ให้เป็น Access Port | | `switchport access vlan ` | กำหนด VLAN ID ให้กับ Access Port | | `switchport mode trunk` | กำหนด Interface ให้เป็น Trunk Port | | `switchport trunk encapsulation dot1q` | กำหนด Encapsulation Protocol เป็น 802.1Q (สำหรับ Trunk Port) | | `switchport trunk allowed vlan ` | อนุญาตให้ VLAN ID เหล่านี้ส่งผ่าน Trunk Port ได้ (คั่นด้วย comma ถ้ามีหลาย VLAN) | | `show vlan brief` | แสดงข้อมูล VLAN ทั้งหมด | **ตัวอย่างการ Config VLAN บน Cisco Switch** สมมติว่าเราต้องการสร้าง VLAN 10 (Accounting) และ VLAN 20 (IT) และกำหนดให้ Port 1 เป็นสมาชิกของ VLAN 10 และ Port 2 เป็นสมาชิกของ VLAN 20 และกำหนดให้ Port 24 เป็น Trunk Port ที่อนุญาตให้ VLAN 10 และ VLAN 20 ส่งผ่านได้


enable
configure terminal

! สร้าง VLAN 10
vlan 10
name Accounting

! สร้าง VLAN 20
vlan 20
name IT

! กำหนด Port 1 ให้เป็น Access Port และเป็นสมาชิกของ VLAN 10
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 10

! กำหนด Port 2 ให้เป็น Access Port และเป็นสมาชิกของ VLAN 20
interface GigabitEthernet0/2
switchport mode access
switchport access vlan 20

! กำหนด Port 24 ให้เป็น Trunk Port และอนุญาตให้ VLAN 10 และ VLAN 20 ส่งผ่านได้
interface GigabitEthernet0/24
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20

! ตรวจสอบการ Config
show vlan brief

**อธิบาย Code:** * `enable` และ `configure terminal` เป็นคำสั่งพื้นฐานที่ใช้ในการเข้าสู่ Mode ที่สามารถ Config Switch ได้ * `vlan ` และ `name ` ใช้ในการสร้าง VLAN ใหม่ และกำหนดชื่อให้กับ VLAN นั้นๆ * `interface ` ใช้ในการเลือก Interface ที่ต้องการ Config * `switchport mode access` และ `switchport access vlan ` ใช้ในการกำหนด Interface ให้เป็น Access Port และกำหนด VLAN ID ให้กับ Access Port นั้นๆ * `switchport mode trunk`, `switchport trunk encapsulation dot1q` และ `switchport trunk allowed vlan ` ใช้ในการกำหนด Interface ให้เป็น Trunk Port และอนุญาตให้ VLAN ID เหล่านี้ส่งผ่าน Trunk Port ได้ * `show vlan brief` ใช้ในการแสดงข้อมูล VLAN ทั้งหมด เพื่อตรวจสอบว่าการ Config ถูกต้องหรือไม่ > **ข้อควรระวัง:** การ Config VLAN ที่ผิดพลาด อาจทำให้ Network ไม่สามารถใช้งานได้ ดังนั้นก่อนที่จะทำการ Config VLAN จริง ควรมีการวางแผนและทดสอบอย่างรอบคอบ นอกจากนี้ ควร Backup Configuration ของ Switch ไว้เสมอ เพื่อให้สามารถ Restore กลับมาได้ในกรณีที่เกิดปัญหา การใช้งาน VLAN ไม่ได้จำกัดอยู่แค่ในองค์กรขนาดใหญ่นะครับ องค์กรขนาดเล็กหรือแม้แต่ Home Network ก็สามารถนำ VLAN ไปประยุกต์ใช้ได้ เช่น แบ่ง Network สำหรับ Guest Wi-Fi ออกจาก Network หลัก เพื่อป้องกันไม่ให้ Guest เข้าถึงข้อมูลส่วนตัวของเราได้ ลองเอาไปปรับใช้กันดูนะครับ รับรองว่า Network ของคุณจะปลอดภัยและมีประสิทธิภาพมากยิ่งขึ้น

เทคนิคขั้นสูง / Configuration

การคอนฟิก VLAN ไม่ใช่แค่การสร้าง VLAN ID และ assign port เข้าไปเท่านั้นนะครับ ยังมีเทคนิคขั้นสูงอีกหลายอย่างที่ช่วยให้ network ของคุณมีประสิทธิภาพและความปลอดภัยมากยิ่งขึ้น ลองมาดูกันครับว่ามีอะไรบ้าง

VLAN Trunking

VLAN Trunking คือการเชื่อมต่อระหว่าง switch หลายตัวเพื่อให้ VLAN สามารถข้าม switch ไปได้ โดยปกติแล้ว การเชื่อมต่อระหว่าง switch จะส่ง traffic เฉพาะ VLAN ที่เป็น native VLAN เท่านั้น แต่ถ้าเราต้องการให้ VLAN อื่นๆ ข้าม switch ไปได้ เราต้องใช้ VLAN Trunking ครับ การทำ VLAN Trunking จะใช้ protocol ที่ชื่อว่า 802.1Q ซึ่งจะทำการ tag packet ที่ส่งออกไป เพื่อบอกว่า packet นั้นมาจาก VLAN อะไร เมื่อ switch ปลายทางได้รับ packet ก็จะดู tag แล้วส่ง packet นั้นไปยัง port ที่อยู่ใน VLAN เดียวกัน ตัวอย่างการคอนฟิก VLAN Trunking บน Cisco switch:


interface GigabitEthernet0/1
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30

* `switchport mode trunk`: กำหนดให้ interface เป็น trunk mode * `switchport trunk encapsulation dot1q`: กำหนด encapsulation protocol เป็น 802.1Q * `switchport trunk allowed vlan 10,20,30`: กำหนด VLAN ที่ allowed ให้ผ่าน trunk นี้ได้ (ในตัวอย่างคือ VLAN 10, 20 และ 30) VLAN Trunking ช่วยให้เราสามารถสร้าง VLAN ที่ครอบคลุมหลาย switch ได้ ทำให้การบริหารจัดการ network ง่ายขึ้น และยังช่วยลด broadcast domain ได้อีกด้วยนะ

Inter-VLAN Routing

โดยปกติแล้ว อุปกรณ์ที่อยู่ใน VLAN ต่างกันจะไม่สามารถสื่อสารกันได้โดยตรง เพราะถือว่าเป็นคนละ network กัน แต่ถ้าเราต้องการให้อุปกรณ์ใน VLAN ต่างกันสามารถสื่อสารกันได้ เราต้องใช้ Inter-VLAN Routing ครับ Inter-VLAN Routing คือการ routing traffic ระหว่าง VLAN โดยใช้ router หรือ Layer 3 switch เป็นตัวกลาง Router หรือ Layer 3 switch จะมี interface ที่เชื่อมต่อกับแต่ละ VLAN และจะทำหน้าที่ routing traffic ระหว่าง VLAN เหล่านั้น ตัวอย่างการคอนฟิก Inter-VLAN Routing บน Cisco router:


interface GigabitEthernet0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0
interface GigabitEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
ip routing

* `interface GigabitEthernet0/0.10`: สร้าง subinterface สำหรับ VLAN 10 * `encapsulation dot1Q 10`: กำหนด VLAN ID เป็น 10 * `ip address 192.168.10.1 255.255.255.0`: กำหนด IP address ให้กับ subinterface * `ip routing`: เปิดใช้งาน IP routing Inter-VLAN Routing ช่วยให้เราสามารถควบคุมการสื่อสารระหว่าง VLAN ได้อย่างละเอียด เช่น เราสามารถกำหนด firewall rule เพื่ออนุญาตหรือปฏิเสธ traffic ระหว่าง VLAN ได้

Private VLAN

Private VLAN (PVLAN) เป็นเทคนิคที่ช่วยให้เราสามารถแบ่ง VLAN ออกเป็นส่วนย่อยๆ ได้อีก โดย PVLAN จะมี 3 ประเภทหลักๆ คือ: * **Primary VLAN:** VLAN หลัก ที่ใช้ในการกำหนด PVLAN * **Promiscuous Port:** Port ที่สามารถสื่อสารกับทุก port ใน PVLAN ได้ (ส่วนใหญ่จะเป็น port ของ router หรือ firewall) * **Isolated Port:** Port ที่ไม่สามารถสื่อสารกับ port อื่นๆ ใน PVLAN ได้ นอกจาก promiscuous port * **Community Port:** Port ที่สามารถสื่อสารกับ port อื่นๆ ที่อยู่ใน community เดียวกันได้ PVLAN เหมาะสำหรับใช้ใน environment ที่ต้องการความปลอดภัยสูง เช่น data center หรือ shared hosting เพราะช่วยป้องกันไม่ให้อุปกรณ์ต่างๆ ใน network สื่อสารกันได้โดยตรง ตัวอย่างการคอนฟิก Private VLAN บน Cisco switch:


vlan 100
 private-vlan primary
vlan 101
 private-vlan isolated
vlan 102
 private-vlan community
interface GigabitEthernet0/1
 switchport mode private-vlan host
 switchport private-vlan host-association 100 101
interface GigabitEthernet0/2
 switchport mode private-vlan host
 switchport private-vlan host-association 100 102
interface GigabitEthernet0/3
 switchport mode private-vlan promiscuous
 switchport private-vlan mapping 100 101,102

* `vlan 100 private-vlan primary`: สร้าง primary VLAN 100 * `vlan 101 private-vlan isolated`: สร้าง isolated VLAN 101 * `vlan 102 private-vlan community`: สร้าง community VLAN 102 * `switchport mode private-vlan host`: กำหนด port เป็น host mode (สำหรับ isolated และ community port) * `switchport private-vlan host-association 100 101`: กำหนดให้ port เชื่อมต่อกับ primary VLAN 100 และ isolated VLAN 101 * `switchport mode private-vlan promiscuous`: กำหนด port เป็น promiscuous mode * `switchport private-vlan mapping 100 101,102`: กำหนดให้ promiscuous port สามารถสื่อสารกับ isolated VLAN 101 และ community VLAN 102 ได้ PVLAN ค่อนข้างซับซ้อนในการคอนฟิก แต่ก็คุ้มค่าถ้าคุณต้องการความปลอดภัยระดับสูง

เปรียบเทียบ

การใช้ VLAN มีข้อดีหลายอย่าง แต่ก็มีข้อเสียบางประการเช่นกัน ลองมาดูตารางเปรียบเทียบข้อดีข้อเสียของการใช้ VLAN กันครับ | ข้อดี | ข้อเสีย | | ------------------------------------------- | ------------------------------------------ | | เพิ่มความปลอดภัยให้กับ network | ต้องมีการคอนฟิกที่ซับซ้อนขึ้น | | ลด broadcast domain | อาจทำให้เกิดปัญหา routing ได้ | | เพิ่มประสิทธิภาพของ network | ต้องใช้อุปกรณ์ Layer 3 (router/switch) เพิ่ม | | ง่ายต่อการบริหารจัดการ network | อาจทำให้ network มีความซับซ้อนมากขึ้น | | สามารถแบ่ง network ออกเป็นส่วนๆ ได้อย่างอิสระ | ต้องมีการวางแผน network ที่ดี | ทีนี้มาดูตารางเปรียบเทียบ VLAN กับ physical segmentation กันบ้างครับ | Feature | VLAN | Physical Segmentation | | ------------------- | ---------------------------------- | ------------------------------------------ | | Cost | Low | High | | Complexity | Medium | Low | | Scalability | High | Low | | Security | Medium | High (ถ้าทำอย่างถูกต้อง) | | Resource Utilization | High | Low (แต่เปลืองทรัพยากรมากกว่าในภาพรวม) | | Management | Centralized | Decentralized | จะเห็นได้ว่า VLAN มีข้อดีในเรื่องของ cost, scalability และ resource utilization แต่ physical segmentation อาจจะให้ security ที่สูงกว่า แต่ก็ต้องแลกมาด้วย cost ที่สูงกว่าและความยุ่งยากในการบริหารจัดการที่มากขึ้นครับ

ข้อควรระวัง Troubleshooting

ก่อนที่จะเริ่มใช้ VLAN สิ่งสำคัญคือต้องเข้าใจข้อควรระวังและวิธีการแก้ไขปัญหาที่อาจเกิดขึ้น เพื่อให้มั่นใจว่า network ของคุณจะทำงานได้อย่างราบรื่น

"VLAN config ผิด ชีวิตเปลี่ยน!"

คำเตือนนี้ไม่ได้พูดเล่นนะครับ การคอนฟิก VLAN ผิดพลาดอาจทำให้ network ของคุณล่มได้เลยทีเดียว ดังนั้นต้องระมัดระวังเป็นพิเศษ **ข้อควรระวัง:** * **VLAN ID Conflict:** ห้ามใช้ VLAN ID ซ้ำกันใน network เดียวกัน * **Native VLAN Mismatch:** Native VLAN บน trunk link ต้องตรงกันทั้งสองฝั่ง ไม่งั้นจะเกิดปัญหา traffic ไม่วิ่ง * **Spanning Tree Issues:** VLAN อาจทำให้เกิด spanning tree loop ได้ ถ้าไม่ได้ configure STP ให้ถูกต้อง * **Security Concerns:** VLAN ไม่ได้ปลอดภัย 100% ต้องมีการ configure firewall และ security policies เพิ่มเติม * **Complexity:** VLAN ทำให้ network ซับซ้อนขึ้น ต้องมีการวางแผนและ documentation ที่ดี **Troubleshooting:** * **Connectivity Issues:** ลอง ping จากอุปกรณ์ใน VLAN หนึ่งไปยังอีก VLAN หนึ่ง ถ้า ping ไม่ได้ ให้ตรวจสอบ routing configuration และ firewall rules * **Broadcast Storms:** ถ้าเกิด broadcast storm ให้ตรวจสอบว่ามี spanning tree loop หรือไม่ * **VLAN Mismatch:** ตรวจสอบ VLAN configuration บน switch ทุกตัว ว่าถูกต้องและ consistent หรือไม่ * **MTU Issues:** ถ้า packet ใหญ่เกินไป อาจถูก fragment หรือ drop ให้ตรวจสอบ MTU size บน interface ต่างๆ การ troubleshooting VLAN ต้องใช้ความอดทนและความละเอียดรอบคอบ ค่อยๆ เช็คทีละจุด แล้วคุณจะสามารถแก้ไขปัญหาได้อย่างแน่นอน

ตัวอย่างจากประสบการณ์ 20 ปี

จากประสบการณ์ 20 ปีที่คลุกคลีอยู่ในวงการ IT ผมได้เจอปัญหาเกี่ยวกับการใช้ VLAN มามากมาย วันนี้ผมจะมาเล่าประสบการณ์จริงให้ฟังเป็นอุทาหรณ์ครับ **สถานการณ์ที่ 1: VLAN Leakage** ผมเคยเซ็ตอัพระบบ network ให้กับบริษัทแห่งหนึ่ง ซึ่งมี VLAN หลาย VLAN เพื่อแบ่งแผนกต่างๆ ปรากฏว่ามีอยู่ช่วงหนึ่ง พนักงานในแผนกการตลาดสามารถเข้าถึง file server ของแผนกบัญชีได้! ตอนแรกก็งงมากว่าเกิดอะไรขึ้น หลังจากตรวจสอบอย่างละเอียด พบว่าปัญหาเกิดจาก firewall rule ที่ไม่ได้ configure ให้ละเอียดพอ ทำให้ traffic จาก VLAN การตลาดสามารถทะลุ firewall ไปยัง VLAN บัญชีได้ ผมเลยต้องแก้ไข firewall rule ให้รัดกุมมากขึ้น และทำการ audit security configuration ทั้งหมด เพื่อป้องกันไม่ให้เกิดเหตุการณ์แบบนี้อีก **สถานการณ์ที่ 2: Spanning Tree Loop** สมัยก่อนผมก็เคยพลาดเรื่อง spanning tree loop มาแล้ว ตอนนั้นผมกำลัง configure VLAN ให้กับ switch หลายตัว แล้วลืมเปิดใช้งาน spanning tree protocol (STP) ปรากฏว่า network ล่มทั้งบริษัท! สาเหตุเกิดจาก switch หลายตัวมีการเชื่อมต่อกันแบบ redundant ทำให้เกิด loop เมื่อมี broadcast packet วิ่งใน network packet นั้นก็จะวิ่งวนไปมาไม่รู้จบ ทำให้ CPU ของ switch ทำงานหนักจน overload และ network ล่มในที่สุด หลังจากนั้นมาผมก็ไม่เคยลืมที่จะเปิดใช้งาน STP เลยครับ **สถานการณ์ที่ 3: VLAN Mismatch** อีกเหตุการณ์หนึ่งที่ผมเจอบ่อยคือ VLAN mismatch ปัญหานี้มักจะเกิดจากการที่ admin แต่ละคน configure switch ไม่ตรงกัน เช่น switch ตัวหนึ่งบอกว่า port นี้อยู่ใน VLAN 10 แต่อีกตัวบอกว่าอยู่ใน VLAN 20 ทำให้ traffic วิ่งผิด VLAN หรือวิ่งไม่ได้เลย วิธีแก้ปัญหานี้คือต้องมีการ centralized management และ documentation ที่ดี เพื่อให้ทุกคนรู้ว่า VLAN ไหนใช้ทำอะไร และ port ไหนอยู่ใน VLAN ไหนบ้าง นอกจากนี้ยังต้องมีการตรวจสอบ VLAN configuration อย่างสม่ำเสมอ เพื่อให้มั่นใจว่าทุกอย่างถูกต้องและ consistent จากประสบการณ์ของผม การใช้ VLAN เป็นเรื่องที่ต้องระมัดระวังและต้องมีการวางแผนที่ดี แต่ถ้าทำอย่างถูกต้อง VLAN จะช่วยให้ network ของคุณปลอดภัยและมีประสิทธิภาพมากยิ่งขึ้นครับ

เครื่องมือแนะนำสำหรับการจัดการ VLAN

การจัดการ VLAN ให้มีประสิทธิภาพนั้น จำเป็นต้องมีเครื่องมือที่เหมาะสมเข้ามาช่วย เพื่อให้การกำหนดค่า ตรวจสอบ และแก้ไขปัญหาเป็นไปได้อย่างราบรื่น ลองมาดูเครื่องมือที่ผมแนะนำ ซึ่งแต่ละตัวก็มีจุดเด่นที่แตกต่างกันไป เลือกใช้ตามความเหมาะสมกับสภาพแวดล้อมขององค์กรคุณได้เลยครับ

Cisco Packet Tracer

Cisco Packet Tracer เป็นโปรแกรมจำลองเครือข่ายที่ยอดเยี่ยม เหมาะสำหรับผู้ที่ต้องการเรียนรู้และทดลองการกำหนดค่า VLAN โดยไม่ต้องใช้อุปกรณ์จริง เราสามารถสร้าง topology เครือข่ายเสมือนจริง กำหนดค่า switches และ routers รวมถึงจำลองการรับส่งข้อมูลเพื่อศึกษาพฤติกรรมของ VLAN ได้อย่างละเอียด ที่สำคัญคือมันฟรี! (สำหรับนักเรียน นักศึกษา) ใครที่อยากลองเล่น VLAN แบบไม่ต้องลงทุนเยอะ แนะนำตัวนี้เลยครับ


! กำหนดค่า VLAN 10 บน Switch
Switch> enable
Switch# configure terminal
Switch(config)# vlan 10
Switch(config-vlan)# name Marketing
Switch(config-vlan)# exit
! กำหนด interface ให้ VLAN 10
Switch(config)# interface fa0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 10
Switch(config-if)# exit
Switch(config)# end
Switch# show vlan brief

Packet Tracer ยังมีเครื่องมือวิเคราะห์ packet ที่ช่วยให้เราเห็นการทำงานของ 802.1Q tagging ได้อย่างชัดเจน ทำให้เข้าใจหลักการทำงานของ VLAN ได้ลึกซึ้งยิ่งขึ้น นอกจากนี้ ยังมี tutorial และตัวอย่างมากมายให้ศึกษา ทำให้ง่ายต่อการเริ่มต้นใช้งาน

GNS3 (Graphical Network Simulator-3)

GNS3 เป็นอีกหนึ่งโปรแกรมจำลองเครือข่ายที่ได้รับความนิยม แต่มีความยืดหยุ่นมากกว่า Packet Tracer ตรงที่สามารถใช้ IOS images ของ Cisco หรือ virtual appliances ของ vendors อื่นๆ ได้ ทำให้เราสามารถจำลองเครือข่ายที่ซับซ้อนและใกล้เคียงกับสภาพแวดล้อมจริงได้มากขึ้น


! ตัวอย่างการ config VLAN บน Cisco IOS
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport trunk allowed vlan 10,20,30
Switch(config-if)# exit
Switch(config)# show interface trunk

GNS3 เหมาะสำหรับผู้ที่มีความรู้พื้นฐานด้าน networking อยู่บ้าง และต้องการทดสอบการทำงานของ VLAN ในสภาพแวดล้อมที่ซับซ้อนมากขึ้น เช่น การเชื่อมต่อ VLAN ข้าม switches หรือการทำ inter-VLAN routing

SolarWinds Network Performance Monitor (NPM)

SolarWinds NPM เป็นเครื่องมือ monitoring เครือข่ายแบบครบวงจร ที่สามารถตรวจสอบสถานะและประสิทธิภาพของ VLAN ได้แบบ real-time เราสามารถดู traffic ที่วิ่งผ่านแต่ละ VLAN, ตรวจสอบ utilization ของ switches และ routers รวมถึงตั้ง alerts เมื่อมีปัญหาเกิดขึ้น เช่น VLAN down หรือ traffic เกิน threshold ที่กำหนด


-- ตัวอย่าง SQL query เพื่อดึงข้อมูล VLAN utilization
SELECT
    VLAN.VLANID,
    VLAN.Name,
    AVG(Interface.InTraffic) AS AvgInTraffic,
    AVG(Interface.OutTraffic) AS AvgOutTraffic
FROM
    VLAN
    INNER JOIN Interface ON VLAN.VLANID = Interface.VLANID
GROUP BY
    VLAN.VLANID, VLAN.Name
ORDER BY
    VLAN.VLANID;

NPM มี dashboard ที่สวยงามและใช้งานง่าย ทำให้เราสามารถเห็นภาพรวมของเครือข่ายได้อย่างรวดเร็ว และ drill-down ไปดูรายละเอียดในแต่ละ VLAN ได้อย่างละเอียด เหมาะสำหรับองค์กรขนาดใหญ่ที่ต้องการเครื่องมือ monitoring ที่มีประสิทธิภาพสูง

Wireshark

Wireshark เป็นโปรแกรม packet analyzer ที่ช่วยให้เราสามารถดักจับและวิเคราะห์ traffic ที่วิ่งอยู่ในเครือข่ายได้ เราสามารถใช้ Wireshark เพื่อตรวจสอบ 802.1Q tagging, ดู VLAN ID ที่ถูกกำหนดให้กับแต่ละ packet และวิเคราะห์ปัญหาที่เกิดขึ้นกับ VLAN ได้อย่างละเอียด


# ตัวอย่าง filter ใน Wireshark เพื่อดูเฉพาะ traffic ที่มี VLAN ID 10
vlan.id == 10

Wireshark เป็นเครื่องมือที่ทรงพลัง แต่ต้องใช้ความรู้ความเข้าใจเกี่ยวกับ networking พอสมควร ใครที่อยากเป็น network guru ต้องลองใช้ Wireshark ให้คล่องเลยครับ

Case Study: ประสบการณ์จริงกับการ Implement VLAN

ผมเคยมีประสบการณ์ในการ implement VLAN ให้กับบริษัทขนาดกลางแห่งหนึ่ง ซึ่งมีพนักงานประมาณ 200 คน ก่อนหน้านี้บริษัทใช้ network แบบ flat ทั้งหมด ทุกคนอยู่ใน subnet เดียวกัน ทำให้เกิดปัญหาด้าน security และ performance อย่างมาก * **ปัญหา:** พนักงานแผนก marketing สามารถเข้าถึง file server ของแผนกบัญชีได้, printer share กันมั่วไปหมด, bandwidth ถูกใช้งานอย่างไม่เป็นธรรม ทำให้บางช่วงเวลา internet ช้ามาก * **เป้าหมาย:** แบ่ง network ออกเป็นส่วนๆ เพื่อเพิ่ม security, ควบคุม access และปรับปรุง performance **ขั้นตอนการดำเนินงาน:** 1. **วางแผน:** เราเริ่มจากการสำรวจการใช้งาน network ของแต่ละแผนก และกำหนด VLAN ID ให้แต่ละแผนก เช่น VLAN 10 สำหรับ Marketing, VLAN 20 สำหรับ Accounting, VLAN 30 สำหรับ IT และ VLAN 40 สำหรับ Guest Network 2. **Config Switches:** เราทำการ config switches โดยกำหนด VLANs และ assign ports ให้กับ VLANs ที่เหมาะสม รวมถึง enable inter-VLAN routing เพื่อให้แต่ละ VLAN สามารถสื่อสารกันได้ตาม policy ที่กำหนด 3. **Firewall Rules:** กำหนด firewall rules เพื่อควบคุม traffic ระหว่าง VLANs เช่น อนุญาตให้แผนก Marketing เข้าถึง internet ได้เท่านั้น แต่ห้ามเข้าถึง file server ของแผนก Accounting 4. **Testing:** ทดสอบการทำงานของ VLANs โดยให้พนักงานแต่ละแผนกเข้าใช้งาน network และตรวจสอบว่า access ถูกต้องตาม policy ที่กำหนดหรือไม่ 5. **Monitoring:** ติดตั้งระบบ monitoring เพื่อตรวจสอบ traffic และ utilization ของแต่ละ VLAN **ผลลัพธ์:** * **Security ดีขึ้น:** พนักงานแต่ละแผนกสามารถเข้าถึง resource ที่จำเป็นเท่านั้น ลดความเสี่ยงจากการถูกโจมตีจากภายใน * **Performance ดีขึ้น:** Traffic ถูกแบ่งออกเป็นส่วนๆ ทำให้ bandwidth ถูกใช้งานอย่างมีประสิทธิภาพมากขึ้น * **บริหารจัดการง่ายขึ้น:** การจัดการ network เป็นระเบียบมากขึ้น สามารถ troubleshoot ปัญหาได้ง่ายขึ้น **ตัวเลขที่น่าสนใจ:** * หลังจาก implement VLAN พบว่า traffic ภายใน network ลดลง 30% * ความเร็ว internet เพิ่มขึ้น 20% ในช่วงเวลา peak * Incident ด้าน security ลดลง 50% **บทเรียนที่ได้รับ:** * การวางแผนเป็นสิ่งสำคัญมาก ต้องเข้าใจ business requirement และ use case ของแต่ละแผนกอย่างละเอียด * การ config switches และ firewall ต้องทำอย่างระมัดระวัง เพราะอาจทำให้เกิดปัญหา network outage ได้ * การ testing และ monitoring เป็นสิ่งจำเป็น เพื่อให้มั่นใจว่า VLAN ทำงานได้อย่างถูกต้องและมีประสิทธิภาพ

FAQ: คำถามที่พบบ่อยเกี่ยวกับ VLAN

VLAN เป็นเรื่องที่หลายคนอาจจะยังสงสัย ผมเลยรวบรวมคำถามที่พบบ่อย พร้อมคำตอบแบบละเอียดมาให้ครับ เคลียร์ทุกข้อสงสัยแน่นอน!

VLAN กับ Subnet ต่างกันอย่างไร?

VLAN เป็นการแบ่งเครือข่ายใน layer 2 (data link layer) โดยใช้ switch ในการกำหนด ส่วน subnet เป็นการแบ่งเครือข่ายใน layer 3 (network layer) โดยใช้ router ในการกำหนด VLAN ช่วยลด broadcast domain ในขณะที่ subnet ช่วยในการจัดระเบียบ IP address และ routing traffic ทั้งสองอย่างทำงานร่วมกันเพื่อสร้างเครือข่ายที่มีประสิทธิภาพและปลอดภัย

VLAN Trunking คืออะไร และทำไมต้องใช้?

VLAN trunking เป็นการส่ง traffic ของหลาย VLANs ผ่าน link เดียวกัน โดยใช้ 802.1Q tagging เพื่อระบุว่าแต่ละ packet อยู่ใน VLAN ไหน เราใช้ trunking เมื่อต้องการเชื่อมต่อ switches หลายตัวเข้าด้วยกัน และต้องการให้ VLANs สามารถข้าม switches ได้ โดยไม่ต้องใช้ physical link แยกสำหรับแต่ละ VLAN ช่วยประหยัด port และลดความซับซ้อนของ network topology

VLAN hopping คืออะไร และมีวิธีป้องกันอย่างไร?

VLAN hopping เป็นเทคนิคการโจมตีที่ attacker พยายามส่ง traffic ข้าม VLANs โดยไม่ได้รับอนุญาต วิธีป้องกันคือ disable automatic trunking negotiation, กำหนด native VLAN ให้เป็น VLAN ที่ไม่ได้ใช้งาน และตรวจสอบ firewall rules อย่างสม่ำเสมอ

Native VLAN คืออะไร และมีผลกระทบอย่างไร?

Native VLAN เป็น VLAN ที่ไม่มี tag 802.1Q กำหนดไว้ มักใช้สำหรับ backward compatibility กับอุปกรณ์ที่ไม่ได้รองรับ VLAN tagging ถ้า native VLAN ไม่ได้ถูก config อย่างถูกต้อง อาจทำให้เกิด security vulnerability ได้ เช่น VLAN hopping ดังนั้นควร config native VLAN ให้เป็น VLAN ที่ไม่ได้ใช้งาน และตรวจสอบการ config อย่างละเอียด

Inter-VLAN routing คืออะไร และทำไมต้องมี?

Inter-VLAN routing คือการ routing traffic ระหว่าง VLANs ที่แตกต่างกัน โดยปกติแล้ว traffic ใน VLAN เดียวกันจะสามารถสื่อสารกันได้โดยตรง แต่ถ้าต้องการให้ traffic ข้าม VLANs จะต้องใช้ router หรือ layer 3 switch ในการ routing Inter-VLAN routing ช่วยให้เราสามารถควบคุมการสื่อสารระหว่าง VLANs ได้อย่างละเอียด และกำหนด policy ด้าน security ได้อย่างมีประสิทธิภาพ

Dynamic VLAN assignment คืออะไร และมีข้อดีข้อเสียอย่างไร?

Dynamic VLAN assignment เป็นการ assign VLAN ให้กับ client โดยอัตโนมัติ โดยอิงจาก MAC address หรือ username/password ของ client ข้อดีคือช่วยลดภาระในการ config VLAN ให้กับแต่ละ client ด้วยตนเอง และเพิ่มความยืดหยุ่นในการจัดการ network แต่ข้อเสียคือต้องมี RADIUS server หรือ DHCP server ที่รองรับ VLAN assignment ซึ่งอาจเพิ่มความซับซ้อนในการติดตั้งและดูแลรักษา

สรุป

VLAN เป็นเทคโนโลยีที่สำคัญอย่างยิ่งในการแบ่ง segment ของ network เพื่อเพิ่ม security, ปรับปรุง performance และบริหารจัดการ network ได้อย่างมีประสิทธิภาพมากขึ้น การ implement VLAN อย่างถูกต้องนั้นต้องอาศัยความเข้าใจในหลักการทำงานของ VLAN, การวางแผนอย่างรอบคอบ และการ config switches และ firewall อย่างระมัดระวัง จากการที่เราได้ทำความเข้าใจเกี่ยวกับ VLAN ทั้งหมดนี้ จะเห็นได้ว่า VLAN ไม่ได้เป็นแค่เรื่องเทคนิค แต่เป็นเรื่องของการออกแบบ network ที่ตอบโจทย์ business requirement ขององค์กรด้วย การเลือกใช้เครื่องมือที่เหมาะสม การเรียนรู้จาก case study และการตอบคำถามที่พบบ่อย จะช่วยให้เราสามารถ implement VLAN ได้อย่างมั่นใจและประสบความสำเร็จ สุดท้ายนี้ อยากฝากไว้ว่าเทคโนโลยีมีการเปลี่ยนแปลงอยู่เสมอ อย่าหยุดที่จะเรียนรู้และพัฒนาตัวเองอยู่เสมอครับ ลองนำความรู้ที่ได้จากบทความนี้ไปประยุกต์ใช้กับ network ของคุณ แล้วคุณจะเห็นถึงความเปลี่ยนแปลงที่เกิดขึ้นอย่างแน่นอน! ขอให้สนุกกับการ implement VLAN นะครับ!

Tips จากประสบการณ์ 20 ปี

1. วางแผน VLAN อย่างละเอียดก่อนลงมือทำ

ผมเคยเจอปัญหาเยอะมากครับ สมัยก่อนตอนเริ่มทำ VLAN ใหม่ๆ สิ่งที่ผิดพลาดบ่อยที่สุดคือการไม่ได้วางแผนให้ดีก่อนลงมือทำ พอไม่ได้วางแผน พอเริ่ม config ไปแล้วก็งงเองว่า VLAN ไหนควรอยู่ตรงไหน, IP address ช่วงไหนควรใช้, และใครควรเข้าถึงอะไรได้บ้าง สุดท้ายต้องรื้อทำใหม่ เสียเวลาไปเยอะเลย

ดังนั้น ก่อนที่จะเริ่ม config VLAN จริงๆ จังๆ ให้นั่งลงแล้วเขียนแผนผังเครือข่ายออกมาให้ละเอียดที่สุดเท่าที่จะทำได้ครับ เริ่มจากระบุว่าอุปกรณ์แต่ละชนิด (เช่น เครื่องคอมพิวเตอร์, เซิร์ฟเวอร์, เครื่องพิมพ์, กล้องวงจรปิด) ควรจะอยู่ใน VLAN ไหนบ้าง, VLAN ไหนที่ต้องการความปลอดภัยสูงเป็นพิเศษ, และ VLAN ไหนที่ต้องการให้สื่อสารกันได้อิสระมากขึ้น หลังจากนั้นก็กำหนดช่วง IP address สำหรับแต่ละ VLAN ให้ชัดเจน เพื่อป้องกันปัญหา IP address ซ้ำซ้อนในอนาคต

นอกจากนี้ อย่าลืมคิดถึงเรื่องการตั้งชื่อ VLAN ด้วยนะครับ ตั้งชื่อให้สื่อความหมายและง่ายต่อการจดจำ เช่น VLAN10_Sales, VLAN20_Finance, VLAN30_GuestWifi เป็นต้น การตั้งชื่อที่ดีจะช่วยให้เราบริหารจัดการ VLAN ได้ง่ายขึ้นในระยะยาวครับ

ตัวอย่างเช่น ถ้าคุณมีแผนก Sales, Finance, และ Guest Wifi คุณอาจจะสร้าง VLAN ตามนี้:


VLAN ID: 10
Name: VLAN10_Sales
IP Address Range: 192.168.10.0/24

VLAN ID: 20
Name: VLAN20_Finance
IP Address Range: 192.168.20.0/24

VLAN ID: 30
Name: VLAN30_GuestWifi
IP Address Range: 192.168.30.0/24

การวางแผนที่ดีจะช่วยลดปัญหาที่อาจเกิดขึ้นในอนาคต และทำให้การบริหารจัดการเครือข่ายเป็นไปได้อย่างราบรื่นครับ ตรงนี้สำคัญมากนะ!

2. ใช้ VLAN Tagging อย่างถูกต้อง

VLAN Tagging คือการใส่ "ป้าย" หรือ "Tag" ให้กับแพ็กเก็ตข้อมูล เพื่อบอกว่าแพ็กเก็ตนี้มาจาก VLAN ไหน ซึ่งมีความสำคัญมากในการทำให้ VLAN ทำงานได้อย่างถูกต้อง ลองคิดดูนะ ถ้าเราไม่ใส่ Tag แล้ว Switch จะรู้ได้ยังไงว่าแพ็กเก็ตนี้ควรจะถูกส่งไปที่ VLAN ไหน?

มาตรฐานที่ใช้กันทั่วไปในการทำ VLAN Tagging คือ IEEE 802.1Q ซึ่งจะเพิ่ม Header ขนาด 4 ไบต์เข้าไปในแพ็กเก็ตข้อมูล Header นี้จะประกอบไปด้วยข้อมูลต่างๆ ที่เกี่ยวข้องกับ VLAN เช่น VLAN ID (VID) ซึ่งเป็นตัวเลขที่ระบุว่าแพ็กเก็ตนี้มาจาก VLAN ไหน

ในการ config Switch เราจะต้องกำหนดว่า Port ไหนเป็น Access Port หรือ Trunk Port Access Port คือ Port ที่เชื่อมต่อกับอุปกรณ์ปลายทาง (เช่น คอมพิวเตอร์) และจะส่งแพ็กเก็ตข้อมูลที่ไม่ Tag ออกไป Trunk Port คือ Port ที่เชื่อมต่อกับ Switch ตัวอื่น หรือ Router และจะส่งแพ็กเก็ตข้อมูลที่ Tag ออกไป

ตัวอย่างการ config Switch (Cisco):


interface GigabitEthernet0/1
 switchport mode access
 switchport access vlan 10

interface GigabitEthernet0/2
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30

ในตัวอย่างนี้ GigabitEthernet0/1 ถูกกำหนดให้เป็น Access Port ที่อยู่ใน VLAN 10 ส่วน GigabitEthernet0/2 ถูกกำหนดให้เป็น Trunk Port ที่อนุญาตให้ VLAN 10, 20, และ 30 ผ่านได้

การ config VLAN Tagging ให้ถูกต้องเป็นสิ่งสำคัญมากในการทำให้ VLAN ทำงานได้อย่างมีประสิทธิภาพ ถ้า config ผิดพลาด อาจจะทำให้เกิดปัญหาการสื่อสารระหว่าง VLAN หรือทำให้ข้อมูลรั่วไหลไปยัง VLAN อื่นได้

3. ระวังเรื่อง Native VLAN

Native VLAN คือ VLAN ที่ไม่ถูก Tag บน Trunk Port หลายคนอาจจะไม่คุ้นกับคำนี้ แต่จริงๆ แล้วมันมีผลต่อความปลอดภัยของ Network มากเลยครับ

โดยปกติแล้ว Trunk Port จะส่งแพ็กเก็ตข้อมูลที่ Tag ออกไป แต่ก็สามารถกำหนดให้มี Native VLAN ได้ ซึ่งแพ็กเก็ตข้อมูลที่มาจาก Native VLAN จะไม่ถูก Tag เมื่อส่งผ่าน Trunk Port ข้อดีของ Native VLAN คือมันสามารถใช้กับอุปกรณ์ที่ไม่รองรับ VLAN Tagging ได้ แต่ข้อเสียคือมันอาจจะทำให้เกิดช่องโหว่ด้านความปลอดภัยได้

ถ้าผู้ไม่ประสงค์ดีสามารถเข้าถึง Native VLAN ได้ พวกเขาก็อาจจะสามารถดักจับข้อมูลที่ส่งผ่าน Trunk Port ได้ ดังนั้นจึงควรระมัดระวังในการกำหนด Native VLAN และควรเปลี่ยน Native VLAN เป็น VLAN อื่นที่ไม่ถูกใช้งาน เพื่อลดความเสี่ยงด้านความปลอดภัย

ตัวอย่างการ config Native VLAN (Cisco):


interface GigabitEthernet0/2
 switchport trunk native vlan 99

ในตัวอย่างนี้ Native VLAN ถูกกำหนดให้เป็น VLAN 99 ดังนั้นแพ็กเก็ตข้อมูลที่มาจาก VLAN 99 จะไม่ถูก Tag เมื่อส่งผ่าน GigabitEthernet0/2

ผมแนะนำว่าควรหลีกเลี่ยงการใช้ VLAN 1 เป็น Native VLAN เพราะ VLAN 1 เป็น Default VLAN ที่มีอยู่ใน Switch ทุกตัว และอาจเป็นเป้าหมายของการโจมตีได้ง่าย

4. ใช้ Access Control List (ACL) เพื่อควบคุมการเข้าถึง

ACL หรือ Access Control List คือรายการที่กำหนดว่าใครสามารถเข้าถึงอะไรได้บ้างในเครือข่ายของเรา ACL เป็นเครื่องมือที่สำคัญมากในการรักษาความปลอดภัยของ VLAN เพราะมันช่วยให้เราสามารถควบคุมการสื่อสารระหว่าง VLAN ได้อย่างละเอียด

โดยปกติแล้ว VLAN จะสามารถสื่อสารกันได้อย่างอิสระ แต่ในบางกรณีเราอาจจะต้องการจำกัดการเข้าถึงระหว่าง VLAN เช่น เราอาจจะต้องการให้แผนก Finance สามารถเข้าถึง Server ของแผนก HR ได้ แต่ไม่ต้องการให้แผนก Sales เข้าถึง Server ของแผนก HR ได้ ในกรณีนี้เราสามารถใช้ ACL เพื่อกำหนดกฎเกณฑ์ในการเข้าถึงได้

ตัวอย่างการ config ACL (Cisco):


access-list 10 permit ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255
access-list 10 deny ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255

interface Vlan20
 ip access-group 10 in

ในตัวอย่างนี้ ACL 10 อนุญาตให้ Network 192.168.10.0/24 (Sales) สามารถเข้าถึง Network 192.168.20.0/24 (Finance) ได้ แต่ไม่อนุญาตให้ Network 192.168.30.0/24 (Guest Wifi) สามารถเข้าถึง Network 192.168.20.0/24 ได้ หลังจากนั้น ACL 10 ถูกนำไปใช้กับ Interface Vlan20 ซึ่งหมายความว่า ACL นี้จะถูกใช้เพื่อกรอง Traffic ที่เข้ามายัง VLAN 20

ACL สามารถกำหนดได้ทั้ง Inbound และ Outbound Inbound ACL จะถูกใช้เพื่อกรอง Traffic ที่เข้ามายัง Interface ส่วน Outbound ACL จะถูกใช้เพื่อกรอง Traffic ที่ออกจาก Interface

5. Monitor เครือข่ายอย่างสม่ำเสมอ

การ Monitor เครือข่ายเป็นสิ่งสำคัญมากในการตรวจจับปัญหาที่อาจเกิดขึ้น และตอบสนองต่อปัญหาได้อย่างรวดเร็ว การ Monitor VLAN ก็เช่นกัน เราควรจะ Monitor Traffic ที่ไหลผ่าน VLAN แต่ละตัว, การใช้งาน Bandwidth, และ Error ที่อาจเกิดขึ้น

มีเครื่องมือมากมายที่เราสามารถใช้ในการ Monitor เครือข่ายได้ เช่น Network Monitoring Software (NMS), Simple Network Management Protocol (SNMP), และ NetFlow ผมเคยเซ็ตตอนปี 2020 ใช้ Grafana ผูกกับ Prometheus คือดีเลย

NMS เป็น Software ที่ช่วยให้เราสามารถ Monitor อุปกรณ์เครือข่ายต่างๆ ได้จากศูนย์กลาง NMS สามารถแสดงข้อมูลต่างๆ เช่น สถานะของอุปกรณ์, การใช้งาน CPU, Memory, และ Bandwidth, และ Error ที่เกิดขึ้น

SNMP เป็น Protocol ที่ใช้ในการสื่อสารระหว่าง NMS และอุปกรณ์เครือข่าย อุปกรณ์เครือข่ายจะส่งข้อมูลต่างๆ ไปยัง NMS ผ่าน SNMP

NetFlow เป็น Technology ที่ช่วยให้เราสามารถวิเคราะห์ Traffic ที่ไหลผ่านเครือข่ายได้ NetFlow จะเก็บข้อมูลเกี่ยวกับ Source IP Address, Destination IP Address, Port Number, และ Protocol ของแต่ละ Flow ข้อมูลเหล่านี้สามารถนำไปวิเคราะห์เพื่อหา Traffic ที่ผิดปกติ หรือเพื่อวางแผนการใช้งาน Bandwidth ได้

6. อัปเดต Firmware ของอุปกรณ์เครือข่ายอย่างสม่ำเสมอ

การอัปเดต Firmware ของอุปกรณ์เครือข่ายเป็นสิ่งสำคัญมากในการแก้ไข Bug, ปิดช่องโหว่ด้านความปลอดภัย, และปรับปรุงประสิทธิภาพของอุปกรณ์

ผู้ผลิตอุปกรณ์เครือข่ายมักจะออก Firmware Version ใหม่ๆ อยู่เสมอ ดังนั้นเราควรจะตรวจสอบ Website ของผู้ผลิตเป็นประจำ และดาวน์โหลด Firmware Version ล่าสุดมาติดตั้ง

ก่อนที่จะทำการอัปเดต Firmware ควร Backup Configuration ของอุปกรณ์ไว้ก่อน เผื่อในกรณีที่เกิดปัญหาขึ้นระหว่างการอัปเดต เราจะได้สามารถ Restore Configuration กลับมาได้

นอกจากนี้ ควรตรวจสอบ Release Notes ของ Firmware Version ใหม่ก่อนที่จะทำการอัปเดต เพื่อดูว่ามี Bug หรือ Known Issues อะไรบ้างที่เราควรระวัง

7. จัดทำ Documentation ที่ดี

Documentation ที่ดีเป็นสิ่งสำคัญมากในการบริหารจัดการเครือข่าย โดยเฉพาะอย่างยิ่งเมื่อมี VLAN หลายตัว Documentation ที่ดีจะช่วยให้เราเข้าใจโครงสร้างของเครือข่าย, การ config ของ VLAN แต่ละตัว, และกฎเกณฑ์ในการเข้าถึงได้อย่างรวดเร็ว

Documentation ควรจะประกอบไปด้วยข้อมูลต่างๆ เช่น:

แผนผังเครือข่ายที่แสดง VLAN แต่ละตัว, IP Address Range, และอุปกรณ์ที่อยู่ใน VLAN นั้นๆ
Configuration ของ Switch และ Router ที่เกี่ยวข้องกับ VLAN
ACL ที่ใช้ในการควบคุมการเข้าถึงระหว่าง VLAN
ขั้นตอนในการแก้ไขปัญหาที่อาจเกิดขึ้นกับ VLAN

ควรเก็บ Documentation ไว้ในที่ที่ปลอดภัย และสามารถเข้าถึงได้ง่าย และควรปรับปรุง Documentation ให้เป็นปัจจุบันอยู่เสมอ

8. ทดสอบก่อนนำไปใช้งานจริง

ก่อนที่จะนำ VLAN ที่ config เสร็จแล้วไปใช้งานจริง ควรทดสอบให้แน่ใจก่อนว่าทุกอย่างทำงานได้อย่างถูกต้อง การทดสอบจะช่วยให้เราตรวจจับปัญหาที่อาจเกิดขึ้น และแก้ไขปัญหาได้ก่อนที่จะส่งผลกระทบต่อผู้ใช้งาน

การทดสอบควรจะครอบคลุมทุกแง่มุมของการทำงานของ VLAN เช่น:

การสื่อสารระหว่าง VLAN
การเข้าถึงทรัพยากรต่างๆ
ประสิทธิภาพของเครือข่าย
ความปลอดภัยของเครือข่าย

สามารถใช้เครื่องมือต่างๆ ในการทดสอบได้ เช่น Ping, Traceroute, iperf, และ Network Analyzer

FAQ เพิ่ม 4 ข้อ

ทำไมต้องแบ่ง VLAN? มันจำเป็นขนาดนั้นเลยเหรอ?

คำถามนี้เจอบ่อยมากครับ! การแบ่ง VLAN ไม่ได้จำเป็นสำหรับทุกเครือข่าย แต่สำหรับเครือข่ายขนาดกลางถึงใหญ่ที่มีความซับซ้อน การแบ่ง VLAN เป็นสิ่งที่ควรพิจารณาอย่างยิ่ง ลองนึกภาพว่าถ้าเรามีพนักงาน 100 คน ทุกคนอยู่ใน Network เดียวกันหมด ใครก็สามารถเข้าถึงข้อมูลของใครก็ได้ แบบนี้ไม่ปลอดภัยเลยใช่ไหมครับ?

VLAN ช่วยให้เราแบ่งเครือข่ายออกเป็นส่วนๆ ได้ ทำให้เราสามารถควบคุมการเข้าถึงข้อมูล, เพิ่มความปลอดภัย, และปรับปรุงประสิทธิภาพของเครือข่ายได้ นอกจากนี้ VLAN ยังช่วยลด Broadcast Domain ทำให้ Network Congestion ลดลง และ Network ทำงานได้เร็วขึ้น

ถ้าคุณมีแผนกต่างๆ ในบริษัท, ต้องการแยก Guest Wifi ออกจาก Network หลัก, หรือต้องการเพิ่มความปลอดภัยให้กับ Server ของคุณ การแบ่ง VLAN เป็นทางเลือกที่ดีครับ

VLAN กับ Subnet ต่างกันยังไง?

หลายคนสับสนระหว่าง VLAN กับ Subnet ซึ่งจริงๆ แล้วมันมีความแตกต่างกันอยู่ครับ Subnet คือการแบ่ง Network ออกเป็นส่วนๆ โดยใช้ IP Address ส่วน VLAN คือการแบ่ง Network ออกเป็นส่วนๆ โดยใช้ Layer 2 (Data Link Layer) ของ OSI Model พูดง่ายๆ คือ Subnet เป็นเรื่องของ IP Address ส่วน VLAN เป็นเรื่องของ Switch

VLAN สามารถมี Subnet ได้หลาย Subnet และ Subnet ก็สามารถอยู่ใน VLAN ได้หลาย VLAN แต่โดยทั่วไปแล้ว VLAN หนึ่งตัวจะมี Subnet เดียว เพื่อให้ง่ายต่อการบริหารจัดการ

ข้อแตกต่างที่สำคัญอีกอย่างหนึ่งคือ VLAN ต้องการ Switch ที่รองรับ VLAN Tagging ส่วน Subnet ไม่ต้องการอุปกรณ์พิเศษใดๆ

ถ้าไม่มี Managed Switch จะทำ VLAN ได้ไหม?

คำตอบคือไม่ได้ครับ VLAN ต้องใช้ Managed Switch ที่รองรับ VLAN Tagging เท่านั้น Unmanaged Switch จะไม่สามารถ config VLAN ได้ เพราะมันไม่เข้าใจ VLAN Tag

Managed Switch คือ Switch ที่เราสามารถ config ค่าต่างๆ ได้ เช่น VLAN, Port Security, และ Quality of Service (QoS) Managed Switch มักจะมีราคาสูงกว่า Unmanaged Switch แต่ก็มีความสามารถที่มากกว่า

ถ้าคุณต้องการทำ VLAN คุณจะต้องลงทุนซื้อ Managed Switch ครับ

มี Tool อะไรแนะนำบ้างที่ช่วย Config VLAN ให้ง่ายขึ้น?

สมัยก่อนผม config VLAN ด้วย Command Line อย่างเดียวเลยครับ แต่เดี๋ยวนี้มี Tool ที่ช่วยให้การ Config VLAN ง่ายขึ้นเยอะเลย

GUI (Graphical User Interface) ของ Switch แต่ละยี่ห้อก็ช่วยได้เยอะครับ Cisco, HP, Juniper, และยี่ห้ออื่นๆ ก็มี GUI ที่ใช้งานง่าย ทำให้เราสามารถ config VLAN ได้โดยไม่ต้องจำ Command Line

นอกจากนี้ยังมี Network Management Software (NMS) ที่ช่วยให้เราสามารถ config และ Monitor VLAN ได้จากศูนย์กลาง NMS จะช่วยให้เราบริหารจัดการ VLAN ได้ง่ายขึ้น โดยเฉพาะอย่างยิ่งเมื่อมี VLAN หลายตัว

บางยี่ห้อก็มี Cloud-Based Management ที่ทำให้เราสามารถ Config Switch จากที่ไหนก็ได้ที่มี Internet Connection สะดวกมากๆ เลยครับ

เลือก Tool ที่เหมาะสมกับความต้องการและงบประมาณของคุณนะครับ!

คุณสมบัติ	VLAN	Subnet
Layer	Layer 2 (Data Link Layer)	Layer 3 (Network Layer)
อุปกรณ์ที่ต้องการ	Managed Switch ที่รองรับ VLAN Tagging	ไม่ต้องการอุปกรณ์พิเศษ
วัตถุประสงค์	แบ่ง Network ออกเป็นส่วนๆ ทางกายภาพ	แบ่ง Network ออกเป็นส่วนๆ ทางตรรกะ (IP Address)
การสื่อสาร	ต้องใช้ Router หรือ Layer 3 Switch ในการสื่อสารระหว่าง VLAN	สื่อสารกันได้โดยตรงภายใน Subnet เดียวกัน
ความปลอดภัย	เพิ่มความปลอดภัยโดยการจำกัดการเข้าถึงระหว่าง VLAN	เพิ่มความปลอดภัยโดยการใช้ Firewall และ ACL