Home » วิธีตั้งค่า VLAN แยก Network ให้ปลอดภัย
Network & LAN

วิธีตั้งค่า VLAN แยก Network ให้ปลอดภัย

bom
February 13, 2026
0 Views

ในยุคดิจิทัลที่ข้อมูลคือขุมทรัพย์ การรักษาความปลอดภัยของเครือข่ายภายในองค์กรจึงเป็นสิ่งสำคัญยิ่ง การโจมตีทางไซเบอร์ที่ซับซ้อนขึ้นเรื่อยๆ ทำให้การใช้มาตรการรักษาความปลอดภัยแบบเดิมๆ อาจไม่เพียงพออีกต่อไป หนึ่งในเทคนิคที่ได้รับความนิยมและมีประสิทธิภาพในการแบ่งแยกและป้องกันเครือข่ายคือการใช้ VLAN (Virtual LAN)

VLAN คืออะไร ทำไมต้องแยก Network ให้ปลอดภัยด้วย VLAN?

VLAN หรือ Virtual LAN คือการสร้างเครือข่ายโลจิคัล (Logical Network) ภายในเครือข่ายกายภาพ (Physical Network) เดียวกัน เปรียบเสมือนการแบ่งห้องขนาดใหญ่ออกเป็นห้องย่อยๆ โดยใช้ผนังกั้นที่มองไม่เห็น (Virtual Walls) ซึ่งแต่ละห้องย่อย (VLAN) จะมี Broadcast Domain เป็นของตัวเอง ทำให้ traffic ที่เกิดขึ้นใน VLAN หนึ่งจะไม่ส่งผลกระทบต่อ VLAN อื่นๆ

ทำไมต้องแยก Network ให้ปลอดภัยด้วย VLAN? เหตุผลหลักๆ มีดังนี้:

  • Security Enhancement: การแบ่งแยกเครือข่ายช่วยลดความเสี่ยงจากการแพร่กระจายของไวรัสหรือมัลแวร์ หากอุปกรณ์ใน VLAN หนึ่งถูกโจมตี ความเสียหายจะถูกจำกัดอยู่ใน VLAN นั้นเท่านั้น ไม่ลุกลามไปยังส่วนอื่นๆ ของเครือข่าย
  • Performance Improvement: ลดปริมาณ Broadcast Traffic ที่กระจายไปทั่วเครือข่าย ช่วยเพิ่มประสิทธิภาพการทำงานของเครือข่ายโดยรวม เนื่องจากแต่ละ VLAN จะมี Broadcast Domain ของตัวเอง
  • Simplified Network Management: การแบ่งแยกเครือข่ายตามแผนกหรือหน้าที่การทำงาน (เช่น VLAN สำหรับฝ่ายขาย, VLAN สำหรับฝ่ายบัญชี, VLAN สำหรับอุปกรณ์ IoT) ทำให้การจัดการเครือข่ายง่ายขึ้น สามารถกำหนดนโยบายความปลอดภัยและ Quality of Service (QoS) ที่แตกต่างกันในแต่ละ VLAN ได้
  • Reduced Hardware Costs: แทนที่จะต้องใช้ Switch หลายตัวเพื่อแบ่งแยกเครือข่าย สามารถใช้ Switch ตัวเดียวและสร้าง VLAN หลาย VLAN ได้ ช่วยประหยัดค่าใช้จ่าย

วิธีตั้งค่า VLAN แยก Network ให้ปลอดภัย: ขั้นตอนโดยละเอียด

การตั้งค่า VLAN อาจดูซับซ้อน แต่หากทำตามขั้นตอนอย่างละเอียดก็จะสามารถทำได้ไม่ยาก โดยทั่วไปแล้ว ขั้นตอนหลักๆ มีดังนี้:

1. วางแผนและออกแบบ VLAN

ก่อนเริ่มการตั้งค่า VLAN สิ่งสำคัญคือการวางแผนและออกแบบ VLAN ให้สอดคล้องกับความต้องการขององค์กร พิจารณาว่าต้องการแบ่งเครือข่ายออกเป็นกี่ VLAN แต่ละ VLAN จะประกอบด้วยอุปกรณ์อะไรบ้าง และต้องการกำหนดนโยบายความปลอดภัยอย่างไร ตัวอย่างเช่น:

  • VLAN 10: Management VLAN (สำหรับอุปกรณ์ Network Infrastructure เช่น Switch, Router)
  • VLAN 20: Staff VLAN (สำหรับคอมพิวเตอร์ของพนักงาน)
  • VLAN 30: Guest VLAN (สำหรับผู้ใช้งานภายนอก)
  • VLAN 40: Server VLAN (สำหรับ Server ต่างๆ)
  • VLAN 50: IoT VLAN (สำหรับอุปกรณ์ IoT เช่น กล้องวงจรปิด, เซ็นเซอร์)

เมื่อวางแผน VLAN เสร็จแล้ว ให้กำหนด VLAN ID (VLAN Identification Number) ให้กับแต่ละ VLAN โดยทั่วไปแล้ว VLAN ID จะมีค่าระหว่าง 1 ถึง 4094 (บางอุปกรณ์อาจรองรับ VLAN ID ที่มากกว่านี้) ควรเลือก VLAN ID ที่ไม่ซ้ำกันและง่ายต่อการจดจำ

2. กำหนดค่า VLAN บน Switch

การกำหนดค่า VLAN บน Switch เป็นขั้นตอนหลักในการสร้าง VLAN โดยทั่วไปแล้ว Switch จะมีสองโหมดการทำงานหลักๆ เกี่ยวกับ VLAN:

  • Access Port: พอร์ตที่เชื่อมต่อกับอุปกรณ์ปลายทาง (End Devices) เช่น คอมพิวเตอร์, เครื่องพิมพ์, โทรศัพท์ IP โดยพอร์ต Access จะถูกกำหนดให้เป็นสมาชิกของ VLAN ใด VLAN หนึ่งเท่านั้น Traffic ที่เข้าและออกจากพอร์ต Access จะถูก Tag ด้วย VLAN ID ของ VLAN นั้น
  • Trunk Port: พอร์ตที่เชื่อมต่อระหว่าง Switch หรือระหว่าง Switch กับ Router โดย Trunk Port สามารถรองรับ Traffic จากหลาย VLAN ได้ โดย traffic ที่ผ่าน Trunk Port จะถูก Tag ด้วย VLAN ID เพื่อระบุว่า traffic นั้นมาจาก VLAN ใด

ตัวอย่างการกำหนดค่า VLAN บน Cisco Switch (Command Line Interface – CLI):


enable
configure terminal

! สร้าง VLAN
vlan 10
 name Management
vlan 20
 name Staff
vlan 30
 name Guest

! กำหนด Access Port ให้กับ VLAN
interface GigabitEthernet 0/1
 switchport mode access
 switchport access vlan 20
 no shutdown

interface GigabitEthernet 0/2
 switchport mode access
 switchport access vlan 20
 no shutdown

interface GigabitEthernet 0/3
 switchport mode access
 switchport access vlan 30
 no shutdown

! กำหนด Trunk Port
interface GigabitEthernet 0/24
 switchport mode trunk
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30
 no shutdown

end
write memory

คำอธิบาย:

💡 บทความที่เกี่ยวข้อง: Forex สำหรับมือใหม่

  • enable: เข้าสู่ Enable Mode เพื่อให้สามารถแก้ไข Configuration ได้
  • configure terminal: เข้าสู่ Global Configuration Mode
  • vlan 10: สร้าง VLAN ที่มี VLAN ID คือ 10
  • name Management: กำหนดชื่อให้กับ VLAN คือ Management
  • interface GigabitEthernet 0/1: เลือก Interface GigabitEthernet 0/1
  • switchport mode access: กำหนดให้ Interface เป็น Access Port
  • switchport access vlan 20: กำหนดให้ Interface เป็นสมาชิกของ VLAN 20
  • switchport mode trunk: กำหนดให้ Interface เป็น Trunk Port
  • switchport trunk encapsulation dot1q: กำหนด Encapsulation Protocol เป็น 802.1Q (มาตรฐานของ VLAN Tagging)
  • switchport trunk allowed vlan 10,20,30: อนุญาตให้ Trunk Port ส่ง Traffic ของ VLAN 10, 20 และ 30
  • no shutdown: เปิดใช้งาน Interface
  • end: ออกจาก Global Configuration Mode
  • write memory: บันทึก Configuration

หมายเหตุ: คำสั่งในการกำหนดค่า VLAN อาจแตกต่างกันไปขึ้นอยู่กับยี่ห้อและรุ่นของ Switch แต่หลักการพื้นฐานจะคล้ายคลึงกัน

3. กำหนดค่า Inter-VLAN Routing

โดยปกติแล้ว อุปกรณ์ที่อยู่ใน VLAN ต่างกันจะไม่สามารถสื่อสารกันได้โดยตรง หากต้องการให้อุปกรณ์ใน VLAN ต่างกันสามารถสื่อสารกันได้ จะต้องใช้ Inter-VLAN Routing ซึ่งทำได้สองวิธีหลักๆ:

  • Router-on-a-Stick: ใช้ Router ที่มี Interface เดียวเชื่อมต่อกับ Trunk Port ของ Switch โดย Router จะทำหน้าที่ Routing Traffic ระหว่าง VLAN ต่างๆ
  • Layer 3 Switch: ใช้ Switch ที่มีความสามารถในการ Routing (Layer 3 Switch) โดย Switch จะทำหน้าที่ Routing Traffic ระหว่าง VLAN ต่างๆ ภายในตัว

ตัวอย่างการกำหนดค่า Inter-VLAN Routing บน Cisco Router (Router-on-a-Stick):


enable
configure terminal

! สร้าง Sub-Interface สำหรับแต่ละ VLAN
interface GigabitEthernet 0/0.10
 encapsulation dot1Q 10
 ip address 192.168.10.1 255.255.255.0

interface GigabitEthernet 0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0

interface GigabitEthernet 0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0

! เปิดใช้งาน Interface หลัก
interface GigabitEthernet 0/0
 no shutdown

! กำหนด Default Gateway ให้กับแต่ละ VLAN (บน End Devices)
! VLAN 10: 192.168.10.1
! VLAN 20: 192.168.20.1
! VLAN 30: 192.168.30.1

end
write memory

คำอธิบาย:

  • interface GigabitEthernet 0/0.10: สร้าง Sub-Interface บน Interface GigabitEthernet 0/0 โดย Sub-Interface จะถูกใช้สำหรับ VLAN 10
  • encapsulation dot1Q 10: กำหนด Encapsulation Protocol เป็น 802.1Q และกำหนด VLAN ID เป็น 10
  • ip address 192.168.10.1 255.255.255.0: กำหนด IP Address และ Subnet Mask ให้กับ Sub-Interface
  • no shutdown: เปิดใช้งาน Interface หลัก
  • ! VLAN 10: 192.168.10.1: กำหนด Default Gateway ให้กับ End Devices ใน VLAN 10

4. กำหนด Access Control List (ACL) เพื่อควบคุม Traffic ระหว่าง VLAN

ACL (Access Control List) เป็นชุดของกฎที่ใช้ในการกรอง Traffic ที่ผ่าน Router หรือ Switch สามารถใช้ ACL เพื่อควบคุม Traffic ระหว่าง VLAN ต่างๆ ได้ เช่น อนุญาตให้ VLAN 20 (Staff VLAN) สามารถเข้าถึง VLAN 40 (Server VLAN) แต่ไม่อนุญาตให้ VLAN 30 (Guest VLAN) เข้าถึง VLAN 40

ตัวอย่างการกำหนดค่า ACL บน Cisco Router:


enable
configure terminal

! สร้าง Extended ACL
ip access-list extended VLAN_Access
 permit ip 192.168.20.0 0.0.0.255 192.168.40.0 0.0.0.255  ! อนุญาตให้ VLAN 20 เข้าถึง VLAN 40
 deny ip 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255   ! ไม่อนุญาตให้ VLAN 30 เข้าถึง VLAN 40
 permit ip any any                                        ! อนุญาต Traffic อื่นๆ ทั้งหมด

! นำ ACL ไปใช้กับ Interface
interface GigabitEthernet 0/0.20
 ip access-group VLAN_Access in

interface GigabitEthernet 0/0.30
 ip access-group VLAN_Access in

end
write memory

คำอธิบาย:

  • ip access-list extended VLAN_Access: สร้าง Extended ACL ชื่อ VLAN_Access
  • permit ip 192.168.20.0 0.0.0.255 192.168.40.0 0.0.0.255: อนุญาต Traffic จาก Network 192.168.20.0/24 (VLAN 20) ไปยัง Network 192.168.40.0/24 (VLAN 40)
  • deny ip 192.168.30.0 0.0.0.255 192.168.40.0 0.0.0.255: ไม่อนุญาต Traffic จาก Network 192.168.30.0/24 (VLAN 30) ไปยัง Network 192.168.40.0/24 (VLAN 40)
  • permit ip any any: อนุญาต Traffic อื่นๆ ทั้งหมด (หากไม่มี Rule ที่ Match)
  • ip access-group VLAN_Access in: นำ ACL VLAN_Access ไปใช้กับ Interface GigabitEthernet 0/0.20 และ 0/0.30 โดยกรอง Traffic ที่เข้ามายัง Interface (inbound)

5. ทดสอบและตรวจสอบการทำงานของ VLAN

หลังจากกำหนดค่า VLAN เสร็จแล้ว ควรทดสอบและตรวจสอบการทำงานของ VLAN อย่างละเอียด เพื่อให้แน่ใจว่าทุกอย่างทำงานได้อย่างถูกต้อง สามารถใช้เครื่องมือต่างๆ เช่น Ping, Traceroute, และ Network Analyzer (เช่น Wireshark) เพื่อตรวจสอบ Traffic ที่เกิดขึ้นในแต่ละ VLAN

ตัวอย่างการใช้งาน VLAN ในองค์กร

ลองพิจารณาตัวอย่างองค์กรขนาดกลางที่มีแผนกต่างๆ ดังนี้:

  • ฝ่ายขาย (Sales)
  • ฝ่ายบัญชี (Accounting)
  • ฝ่ายไอที (IT)
  • ผู้บริหาร (Management)
  • ผู้ใช้งานภายนอก (Guests)

สามารถแบ่งเครือข่ายออกเป็น VLAN ต่างๆ ดังนี้:

  • VLAN 10: Management VLAN (สำหรับอุปกรณ์ Network Infrastructure)
  • VLAN 20: Sales VLAN (สำหรับคอมพิวเตอร์ของฝ่ายขาย)
  • VLAN 30: Accounting VLAN (สำหรับคอมพิวเตอร์ของฝ่ายบัญชี)
  • VLAN 40: IT VLAN (สำหรับคอมพิวเตอร์ของฝ่ายไอที)
  • VLAN 50: Management VLAN (สำหรับคอมพิวเตอร์ของผู้บริหาร)
  • VLAN 60: Guest VLAN (สำหรับผู้ใช้งานภายนอก)

จากนั้นกำหนด ACL เพื่อควบคุม Traffic ระหว่าง VLAN ต่างๆ เช่น:

  • อนุญาตให้ VLAN 20, 30, 40 และ 50 สามารถเข้าถึง Server ที่อยู่ใน VLAN 10 ได้
  • อนุญาตให้ VLAN 40 สามารถเข้าถึง VLAN อื่นๆ ได้ทั้งหมด
  • ไม่อนุญาตให้ VLAN 60 สามารถเข้าถึง VLAN อื่นๆ ได้

การแบ่งเครือข่ายด้วย VLAN และการกำหนด ACL จะช่วยเพิ่มความปลอดภัยให้กับเครือข่ายขององค์กร ลดความเสี่ยงจากการถูกโจมตี และเพิ่มประสิทธิภาพการทำงานของเครือข่ายโดยรวม

ตารางเปรียบเทียบ: VLAN vs. Subnet

หลายคนอาจสับสนระหว่าง VLAN และ Subnet ว่ามีความแตกต่างกันอย่างไร ตารางต่อไปนี้จะช่วยให้เห็นภาพความแตกต่างได้ชัดเจนยิ่งขึ้น:

คุณสมบัติ VLAN Subnet
Layer Data Link Layer (Layer 2) Network Layer (Layer 3)
หน้าที่หลัก แบ่งแยก Broadcast Domain แบ่งแยก Network Address
การสื่อสาร อุปกรณ์ใน VLAN เดียวกันสามารถสื่อสารกันได้โดยตรง อุปกรณ์ใน Subnet เดียวกันสามารถสื่อสารกันได้โดยตรง
การ Routing ต้องใช้ Inter-VLAN Routing เพื่อให้อุปกรณ์ใน VLAN ต่างกันสามารถสื่อสารกันได้ ต้องใช้ Router เพื่อให้อุปกรณ์ใน Subnet ต่างกันสามารถสื่อสารกันได้
ข้อดี เพิ่มความปลอดภัย, ลด Broadcast Traffic, ง่ายต่อการจัดการ จัดระเบียบ IP Address, ปรับปรุง Network Performance
ข้อเสีย ต้องใช้ Switch ที่รองรับ VLAN, อาจต้องใช้ Inter-VLAN Routing ต้องใช้ Router, อาจซับซ้อนในการจัดการ IP Address

ข้อควรระวังในการตั้งค่า VLAN

ถึงแม้ว่าการตั้งค่า VLAN จะมีประโยชน์มากมาย แต่ก็มีข้อควรระวังที่ควรคำนึงถึง:

  • VLAN Hopping: เป็นเทคนิคการโจมตีที่ผู้โจมตีพยายามข้าม VLAN เพื่อเข้าถึง VLAN อื่นๆ สามารถป้องกันได้โดยการปิดใช้งาน Dynamic Trunking Protocol (DTP) และกำหนด Trunk Port ให้รองรับเฉพาะ VLAN ที่จำเป็นเท่านั้น
  • Native VLAN Mismatch: หาก Native VLAN บน Trunk Port ของ Switch สองตัวไม่ตรงกัน อาจทำให้เกิดปัญหา Traffic หลุดหาย หรือเกิด Security Vulnerabilities ควรตรวจสอบให้แน่ใจว่า Native VLAN บน Trunk Port ทุกพอร์ตตรงกัน
  • Spanning Tree Protocol (STP): หากมีการสร้าง Loop ในเครือข่าย VLAN อาจทำให้เกิด Broadcast Storm ซึ่งจะทำให้เครือข่ายล่ม STP เป็น Protocol ที่ใช้ในการป้องกัน Loop ควรตรวจสอบให้แน่ใจว่า STP ทำงานได้อย่างถูกต้อง

สรุป

การตั้งค่า VLAN เป็นเครื่องมือที่มีประสิทธิภาพในการแบ่งแยก Network ให้ปลอดภัย ลดความเสี่ยงจากการถูกโจมตี และเพิ่มประสิทธิภาพการทำงานของเครือข่ายโดยรวม อย่างไรก็ตาม การตั้งค่า VLAN ต้องอาศัยความเข้าใจในหลักการทำงานของ VLAN และ Protocol ที่เกี่ยวข้อง ควรวางแผนและออกแบบ VLAN อย่างรอบคอบ และทดสอบการทำงานของ VLAN อย่างละเอียดก่อนนำไปใช้งานจริง หากทำตามขั้นตอนและข้อควรระวังที่กล่าวมาข้างต้น ก็จะสามารถใช้ VLAN เป็นเครื่องมือในการรักษาความปลอดภัยของเครือข่ายได้อย่างมีประสิทธิภาพ

📖 อ่านเพิ่มเติม: วิเคราะห์ตลาด Forex

Related Articles
Fast deliveryDiscount and points
Equipment insuranceDiscount and points
Installment and creditDiscount and points
Earn bonuses, rewardsDiscount and points

@2022 จำหน่ายการ์ดแลนสำหรับ Server และเครื่องพิมพ์ใบเสร็จ

จำหน่ายการ์ดแลนสำหรับ Server และเครื่องพิมพ์ใบเสร็จ
Logo
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart