Home » Network Segmentation: VLANs, VRF, Firewall Zones, NAC และ Microsegmentation
Network Segmentation: VLANs, VRF, Firewall Zones, NAC และ Microsegmentation
Network Segmentation: VLANs, VRF, Firewall Zones, NAC และ Microsegmentation
Network Segmentation แบ่ง network ออกเป็นส่วนย่อยเพื่อเพิ่ม security และ performance VLANs แบ่ง broadcast domains ที่ Layer 2, VRF (Virtual Routing and Forwarding) แบ่ง routing tables ที่ Layer 3, Firewall Zones จัดกลุ่ม interfaces เพื่อ apply security policies, NAC (Network Access Control) ควบคุมว่าใครเข้า network ได้ และ Microsegmentation แบ่ง segment ถึงระดับ workload/process เพื่อจำกัด lateral movement
Flat networks (ทุกอย่างอยู่ VLAN เดียวกัน) เป็น ความเสี่ยงด้าน security ที่ใหญ่ที่สุด: attacker ที่เข้ามาได้ 1 จุดสามารถ reach ทุก device, ransomware แพร่กระจายทั้ง network ในนาที, broadcast storms affect ทุก device Segmentation จำกัด blast radius: ถ้า 1 segment ถูก compromise → segments อื่นยังปลอดภัย
Segmentation Layers
| Layer |
Technology |
Granularity |
Use Case |
| Layer 2 |
VLANs |
Broadcast domain |
แยก departments, guest, IoT, voice |
| Layer 3 |
VRF, Subnets, ACLs |
Routing domain |
แยก tenants, environments (prod/dev/test) |
| Layer 3-4 |
Firewall Zones |
Security zone |
Control traffic ระหว่าง zones (trust, untrust, DMZ) |
| Layer 2-3 |
NAC (802.1X) |
Per-device/user |
ควบคุม access ตาม identity + device posture |
| Layer 3-7 |
Microsegmentation |
Per-workload/process |
จำกัด lateral movement ระหว่าง servers/containers |
VLANs
| Feature |
รายละเอียด |
| คืออะไร |
Virtual LAN — แบ่ง physical switch เป็นหลาย logical broadcast domains |
| 802.1Q |
VLAN tagging standard — เพิ่ม 4-byte tag ใน Ethernet frame (VLAN ID 1-4094) |
| Access Port |
Port ที่อยู่ใน 1 VLAN (สำหรับ end devices — PC, phone, printer) |
| Trunk Port |
Port ที่ carry หลาย VLANs (สำหรับ switch-to-switch, switch-to-router) |
| Native VLAN |
Untagged traffic บน trunk → ควรเปลี่ยนจาก default VLAN 1 (security) |
| Inter-VLAN Routing |
Router-on-a-stick หรือ L3 switch (SVI) สำหรับ routing ระหว่าง VLANs |
| Best Practice |
1 VLAN per function (data, voice, management, guest, IoT, servers) |
VLAN Design
| VLAN |
Purpose |
Subnet Example |
| VLAN 10 |
Management (switches, APs, IPMI) |
10.1.10.0/24 |
| VLAN 20 |
Employee Data |
10.1.20.0/24 |
| VLAN 30 |
Voice (IP phones) |
10.1.30.0/24 |
| VLAN 40 |
Guest Wi-Fi |
10.1.40.0/24 |
| VLAN 50 |
IoT Devices (cameras, sensors) |
10.1.50.0/24 |
| VLAN 100 |
Servers |
10.1.100.0/24 |
| VLAN 200 |
DMZ (public-facing servers) |
10.1.200.0/24 |
VRF (Virtual Routing and Forwarding)
| Feature |
รายละเอียด |
| คืออะไร |
แยก routing table บน router/L3 switch เดียวกัน (virtual routers) |
| Isolation |
Traffic ใน VRF หนึ่งไม่สามารถ reach VRF อื่นได้ (complete L3 isolation) |
| Overlapping IPs |
VRF คนละตัวใช้ IP ซ้ำกันได้ (10.0.0.0/24 ใน VRF-A และ VRF-B) |
| VRF-Lite |
VRF without MPLS (ใช้ใน enterprise สำหรับ L3 segmentation) |
| Use Case |
แยก guest traffic จาก corporate, แยก PCI segment, multi-tenant |
| Route Leaking |
Controlled sharing ระหว่าง VRFs (เช่น shared services VRF) |
Firewall Zones
| Zone |
Trust Level |
Typical Contents |
| Trust (Inside) |
High |
Internal users, corporate servers |
| Untrust (Outside) |
Low |
Internet, external networks |
| DMZ |
Medium |
Public-facing servers (web, email, DNS) |
| Guest |
Low |
Guest Wi-Fi, visitor access |
| IoT |
Low-Medium |
Cameras, sensors, building automation |
| Management |
Highest |
Network devices, IPMI, management tools |
NAC (Network Access Control)
| Feature |
รายละเอียด |
| 802.1X |
Port-based authentication — device ต้อง authenticate ก่อนได้ network access |
| Components |
Supplicant (client) + Authenticator (switch/AP) + Auth Server (RADIUS/ISE) |
| EAP |
Extensible Authentication Protocol (EAP-TLS, PEAP, EAP-FAST) |
| Dynamic VLAN |
RADIUS assign VLAN ตาม user/device identity (employee→VLAN 20, guest→VLAN 40) |
| Posture Assessment |
ตรวจ device health (antivirus, patch level, encryption) ก่อนให้ access |
| MAB |
MAC Authentication Bypass — สำหรับ devices ที่ไม่ support 802.1X (printers, IoT) |
| Vendors |
Cisco ISE, Aruba ClearPass, Forescout, Portnox |
Microsegmentation
| Feature |
รายละเอียด |
| คืออะไร |
Segment ถึงระดับ individual workload หรือ process (ละเอียดกว่า VLAN/subnet) |
| Purpose |
จำกัด lateral movement: server A → server B ต้อง pass policy check |
| How |
Host-based agent หรือ hypervisor-level firewall → enforce policy per workload |
| Vendors |
Illumio, Guardicore (Akamai), VMware NSX, Cisco Secure Workload |
| vs VLANs |
VLAN = coarse (per subnet) | Microsegmentation = fine (per workload/port/process) |
| Zero Trust |
Microsegmentation เป็น key component ของ Zero Trust Architecture |
Segmentation Best Practices
| Practice |
รายละเอียด |
| Separate by Function |
แยก VLANs ตาม function (data, voice, guest, IoT, servers, management) |
| Firewall Between Zones |
ทุก traffic ระหว่าง zones ผ่าน firewall (inspect + log) |
| Least Privilege |
Allow เฉพาะ traffic ที่จำเป็น (default deny ระหว่าง segments) |
| NAC for Access Control |
802.1X + dynamic VLAN → ควบคุมว่าใคร/อะไร เข้า segment ไหน |
| Monitor East-West |
Monitor traffic ระหว่าง segments (ไม่ใช่แค่ north-south/perimeter) |
| PCI/Compliance |
แยก PCI cardholder data environment (CDE) ด้วย VRF + firewall |
ทิ้งท้าย: Network Segmentation = Reduce Blast Radius
Network Segmentation VLANs: L2 separation (broadcast domain isolation, 802.1Q tagging) VRF: L3 separation (separate routing tables, complete isolation, overlapping IPs) Firewall Zones: security policy between zones (trust → untrust → DMZ → guest → IoT) NAC: 802.1X port-based auth → dynamic VLAN assignment based on identity + posture Microsegmentation: per-workload policy (Illumio, NSX) → limit lateral movement Best Practice: separate by function, firewall between zones, least privilege, NAC, monitor east-west Key: flat network = one breach compromises everything | segmented = blast radius limited
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust Architecture ZTNA และ Firewall Next-Gen NGFW IPS ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
