บทนำ: ทำไม VLAN ถึงเป็นหัวใจสำคัญของเครือข่ายองค์กรทุกขนาด?
ในโลกของเครือข่ายองค์กร (Enterprise Network) การจัดระเบียบและแบ่งส่วนเครือข่ายให้มีประสิทธิภาพสูงสุดคือหนึ่งในภารกิจที่สำคัญที่สุดของ Network Engineer การใช้ VLAN (Virtual Local Area Network) เป็นเทคนิคพื้นฐานที่ช่วยให้เราสามารถแบ่งเครือข่ายทางกายภาพหนึ่งเครือข่ายออกเป็นหลายเครือข่ายเสมือนได้ โดยไม่ต้องซื้อ switch เพิ่ม ช่วยทั้งเรื่องความปลอดภัย ประสิทธิภาพ และการจัดการ
หากท่านเคยประสบปัญหาเหล่านี้ — broadcast storm ที่ทำให้เครือข่ายช้า, ผู้ใช้ทุกแผนกเข้าถึงข้อมูลของกันและกันได้อย่างอิสระ, ต้องการแยกเครือข่าย Wi-Fi สำหรับแขกออกจากเครือข่ายภายใน หรือต้องทำให้ระบบผ่านมาตรฐาน PCI-DSS — คำตอบทั้งหมดอยู่ที่ VLAN และ Network Segmentation
บทความนี้จะสอนทุกอย่างเกี่ยวกับ VLAN ตั้งแต่แนวคิดพื้นฐาน ประเภทของ VLAN, 802.1Q Trunking, การตั้งค่า VLAN บน Cisco Switch แบบ step-by-step, Inter-VLAN Routing, VLAN Security, Network Segmentation strategies ไปจนถึง VLAN design สำหรับเครือข่ายระดับ campus พร้อม best practices สำหรับปี 2026
ส่วนที่ 1: VLAN คืออะไร? — ทำความเข้าใจ Virtual LAN ตั้งแต่รากฐาน
1.1 ปัญหาของ Flat Network (เครือข่ายแบบราบ)
ก่อนจะเข้าใจ VLAN เราต้องเข้าใจปัญหาของเครือข่ายแบบดั้งเดิมก่อน ลองนึกภาพองค์กรขนาดกลางที่มีพนักงาน 200 คน ใช้ switch ต่อเชื่อมกันเป็น flat network (เครือข่ายราบ) ทั้งหมดอยู่ใน broadcast domain เดียวกัน
ปัญหาที่เกิดขึ้น:
- Broadcast Storm — เมื่ออุปกรณ์ทุกตัวอยู่ใน broadcast domain เดียวกัน ทุกครั้งที่มี broadcast frame (เช่น ARP request, DHCP discover) frame นั้นจะถูกส่งไปยังอุปกรณ์ทุกตัว 200 เครื่องเต็มๆ ยิ่งมีอุปกรณ์มากเท่าไร broadcast traffic ก็ยิ่งสูงขึ้น กินแบนด์วิดท์ไปเปล่าๆ
- ปัญหาด้านความปลอดภัย — เครื่องของฝ่ายบัญชีสามารถ “เห็น” และเข้าถึง traffic ของฝ่ายวิจัยได้ ทำให้ข้อมูลสำคัญรั่วไหลง่าย
- การจัดการยากลำบาก — ถ้าต้องการย้ายพนักงานคนหนึ่งไปอีกแผนก ต้องถอดสาย เปลี่ยน port ทำให้เสียเวลามาก
- ปัญหาเรื่อง compliance — มาตรฐานด้านความปลอดภัยอย่าง PCI-DSS กำหนดให้ต้องแยกเครือข่ายที่ประมวลผลข้อมูลบัตรเครดิตออกจากเครือข่ายทั่วไป ถ้าทำ flat network จะผ่าน audit ไม่ได้
1.2 VLAN คืออะไร?
VLAN (Virtual Local Area Network) คือเทคโนโลยีที่ช่วยให้เราสามารถแบ่ง switch ทางกายภาพหนึ่งตัว (หรือหลายตัว) ออกเป็น broadcast domain หลายอัน โดยใช้การตั้งค่าทางซอฟต์แวร์แทนการแยกฮาร์ดแวร์จริง
พูดง่ายๆ คือ VLAN ทำให้ port ต่างๆ บน switch เดียวกัน ทำงานเหมือนอยู่คนละ switch กัน — อุปกรณ์ใน VLAN 10 จะไม่สามารถสื่อสารกับอุปกรณ์ใน VLAN 20 ได้โดยตรง (ต้องผ่าน router หรือ Layer 3 switch)
Flat Network (ไม่มี VLAN):
┌─────────────────────────────────────────────────┐
│ Switch 48 ports │
│ ทุก port อยู่ใน Broadcast Domain เดียวกัน │
│ PC-1, PC-2, ... PC-48 เห็นกันหมด │
└─────────────────────────────────────────────────┘
Network with VLAN:
┌─────────────────────────────────────────────────┐
│ Switch 48 ports │
│ ┌──────────┐ ┌──────────┐ ┌──────────┐ │
│ │ VLAN 10 │ │ VLAN 20 │ │ VLAN 30 │ │
│ │ Sales │ │ Engineer │ │ Finance │ │
│ │ Port 1-16│ │ Port17-32│ │ Port33-48│ │
│ └──────────┘ └──────────┘ └──────────┘ │
│ แต่ละ VLAN = broadcast domain แยกกัน │
└─────────────────────────────────────────────────┘1.3 ประโยชน์ของ VLAN
การใช้ VLAN ให้ประโยชน์มากมาย:
- ลด Broadcast Domain — แทนที่ broadcast จะกระจายไปยังอุปกรณ์ทุกตัว ก็จะจำกัดอยู่แค่ภายใน VLAN นั้นๆ ลด unnecessary traffic อย่างมาก
- เพิ่มความปลอดภัย — ข้อมูลไม่ข้าม VLAN ได้ ฝ่ายการเงินจะไม่เห็น traffic ของฝ่าย R&D และในทางกลับกัน
- ยืดหยุ่นในการจัดการ — ย้ายพนักงานไปอีกแผนกแค่เปลี่ยน VLAN ของ port ไม่ต้องถอดสาย LAN
- ลดต้นทุน — ไม่ต้องซื้อ switch แยกสำหรับแต่ละแผนก ใช้ switch ตัวเดียวแบ่ง VLAN แทน
- รองรับ QoS (Quality of Service) — สามารถจัดลำดับความสำคัญของ traffic แต่ละ VLAN ได้ เช่น ให้ Voice VLAN มี priority สูงกว่า Data VLAN
- ผ่านมาตรฐาน compliance — PCI-DSS, HIPAA, ISO 27001 ล้วนต้องการ network segmentation ซึ่ง VLAN เป็นวิธีพื้นฐานที่สุดในการทำ
ส่วนที่ 2: ประเภทของ VLAN — VLAN Types ที่ต้องรู้
2.1 Data VLAN (User VLAN)
Data VLAN คือ VLAN ที่ใช้สำหรับ traffic ของผู้ใช้ทั่วไป เช่น การท่องเว็บ การใช้ email การเข้าถึง file server เป็น VLAN ที่พบมากที่สุดในทุกองค์กร โดยปกติจะแบ่งตามแผนกหรือตามหน้าที่งาน
ตัวอย่างการแบ่ง Data VLAN:
VLAN 10 — ฝ่ายขาย (Sales)
VLAN 20 — ฝ่ายวิศวกรรม (Engineering)
VLAN 30 — ฝ่ายการเงิน (Finance)
VLAN 40 — ฝ่ายบุคคล (HR)
VLAN 50 — ฝ่าย IT2.2 Voice VLAN
Voice VLAN เป็น VLAN ที่ออกแบบมาเฉพาะสำหรับ VoIP (Voice over IP) traffic เหตุผลที่ต้องแยก voice traffic ออกมาเพราะ voice ต้องการ latency ต่ำและไม่ทนต่อ packet loss ได้เลย ถ้าปล่อยให้ voice และ data อยู่ VLAN เดียวกัน เวลาที่มีการ download ไฟล์ใหญ่ๆ เสียงโทรศัพท์จะกระตุก ขาดหาย ฟังไม่ชัด
Cisco IP Phone มีฟีเจอร์พิเศษคือมี switch ตัวเล็กในตัว สามารถรับ 2 VLAN พร้อมกัน — voice VLAN สำหรับโทรศัพท์ และ data VLAN สำหรับ PC ที่ต่อผ่านโทรศัพท์
! ตั้งค่า Voice VLAN บน Cisco Switch
interface FastEthernet0/1
switchport mode access
switchport access vlan 10 ! Data VLAN
switchport voice vlan 100 ! Voice VLAN
spanning-tree portfast2.3 Management VLAN
Management VLAN คือ VLAN ที่ใช้สำหรับการบริหารจัดการอุปกรณ์เครือข่าย เช่น SSH เข้า switch, เข้า web GUI ของ access point, SNMP monitoring เป็นต้น การแยก management traffic ออกมาเป็น VLAN ของตัวเองเป็น best practice ด้านความปลอดภัยที่สำคัญมาก เพราะถ้าใครเข้าถึง management interface ได้ก็สามารถเปลี่ยนแปลง configuration ของอุปกรณ์ได้ทั้งหมด
ตามมาตรฐานแล้ว ไม่ควรใช้ VLAN 1 เป็น management VLAN เพราะ VLAN 1 เป็น default VLAN ที่อุปกรณ์ทุกตัวรู้จัก ทำให้เป็นเป้าหมายของการโจมตีได้ง่าย
2.4 Native VLAN
Native VLAN คือ VLAN พิเศษบน trunk port ที่ frame ที่ส่งผ่านจะ ไม่ถูก tag ด้วย 802.1Q header ใช้เพื่อ backward compatibility กับอุปกรณ์เก่าที่ไม่รองรับ 802.1Q tagging
ข้อควรระวัง: Native VLAN ทั้ง 2 ฝั่งของ trunk link ต้องตรงกัน ถ้าไม่ตรงกันจะเกิด native VLAN mismatch ทำให้ traffic หลุดข้าม VLAN ได้ (เป็นช่องโหว่ด้านความปลอดภัย) Cisco switch จะแจ้ง CDP/LLDP warning เมื่อตรวจพบ mismatch
! Default: Native VLAN = VLAN 1
! Best Practice: เปลี่ยน Native VLAN เป็น VLAN ที่ไม่ได้ใช้งาน
interface GigabitEthernet0/1
switchport trunk native vlan 999
switchport trunk allowed vlan 10,20,30,1002.5 VLAN อื่นๆ ที่ควรรู้
- Default VLAN (VLAN 1) — ทุก port บน switch จะอยู่ใน VLAN 1 ตั้งแต่เปิดเครื่อง protocol ต่างๆ เช่น CDP, VTP, STP ใช้ VLAN 1 เป็นค่าเริ่มต้น ไม่สามารถลบหรือเปลี่ยนชื่อ VLAN 1 ได้ ตาม best practice ควรย้ายทุกอย่างออกจาก VLAN 1
- Black Hole VLAN (Parking VLAN) — VLAN ที่สร้างขึ้นเพื่อ assign ให้กับ port ที่ไม่ได้ใช้งาน เพื่อป้องกันไม่ให้คนมาเสียบสาย LAN เข้าใช้เครือข่ายโดยไม่ได้รับอนุญาต port จะ up แต่ไม่สามารถสื่อสารกับ VLAN อื่นได้
- Private VLAN (PVLAN) — VLAN ภายใน VLAN อีกที เป็นเทคนิคขั้นสูงที่ใช้ใน data center หรือ ISP เพื่อ isolate อุปกรณ์ที่อยู่ใน VLAN เดียวกันไม่ให้สื่อสารกันเอง จะอธิบายเพิ่มเติมในส่วนของ VLAN Security
ส่วนที่ 3: 802.1Q Trunking — เชื่อมต่อ VLAN ข้ามหลาย Switch
3.1 ทำไมต้อง Trunk?
สมมติว่าองค์กรมี switch 3 ตัว แต่ละตัวมี VLAN 10 (Sales) และ VLAN 20 (Engineering) ถ้าไม่มี trunk เราต้องใช้สาย LAN แยกสำหรับแต่ละ VLAN ในการเชื่อม switch ถึงกัน คือ ต้องใช้ 2 สาย (สาย VLAN 10 เส้นหนึ่ง, สาย VLAN 20 อีกเส้น) ถ้ามี 10 VLAN ก็ต้องใช้ 10 สาย ซึ่งไม่ practical เลย
Trunk Link แก้ปัญหานี้โดยให้สาย LAN เส้นเดียวสามารถขนส่ง traffic ของหลาย VLAN ได้พร้อมกัน โดยใช้การ “tag” แต่ละ frame ว่ามาจาก VLAN ไหน
3.2 802.1Q (Dot1Q) — มาตรฐาน VLAN Tagging
IEEE 802.1Q เป็นมาตรฐานสากลสำหรับ VLAN tagging ที่ใช้กันแพร่หลายที่สุด ทำงานโดยการแทรก 4 bytes เข้าไปใน Ethernet frame header ระหว่าง Source MAC Address กับ EtherType/Length field
โครงสร้าง 802.1Q Tag (4 bytes / 32 bits):
┌──────────────────────────────────────────────────────┐
│ TPID (16 bits) │ PCP (3 bits) │ DEI (1 bit) │ VID (12 bits) │
│ 0x8100 │ Priority │ Drop │ VLAN ID │
└──────────────────────────────────────────────────────┘
- TPID (Tag Protocol Identifier): ค่า 0x8100 ระบุว่านี่คือ 802.1Q tagged frame
- PCP (Priority Code Point): 3 bits สำหรับ QoS priority (0-7)
เช่น Voice = 5 (EF), Video = 4 (AF41), Data = 0 (BE)
- DEI (Drop Eligible Indicator): 1 bit ระบุว่า frame นี้ทิ้งได้เมื่อ congestion
- VID (VLAN Identifier): 12 bits ระบุ VLAN ID (0-4095)
- VLAN 0: Priority tagging (ไม่ระบุ VLAN)
- VLAN 1: Default VLAN
- VLAN 2-1001: Normal range (ใช้งานทั่วไป)
- VLAN 1002-1005: Reserved สำหรับ FDDI/Token Ring
- VLAN 1006-4094: Extended range (ต้องใช้ VTP transparent mode)
- VLAN 4095: Reservedเนื่องจาก VID มี 12 bits จึงรองรับ VLAN ID ได้สูงสุด 4,094 VLAN (ตัดเลข 0 และ 4095 ที่ reserved ออก) ซึ่งเพียงพอสำหรับองค์กรส่วนใหญ่ แต่สำหรับ data center ขนาดใหญ่ที่ต้องการมากกว่านี้ จะใช้ VXLAN (Virtual Extensible LAN) ที่รองรับได้ถึง 16 ล้าน segment
3.3 Access Port vs Trunk Port
Port บน switch แบ่งเป็น 2 ประเภทหลัก:
Access Port:
- เป็นสมาชิกของ VLAN เดียวเท่านั้น
- ใช้ต่อกับ end device เช่น PC, printer, IP phone
- ส่ง frame แบบ untagged (ไม่มี 802.1Q header)
- เมื่อ switch ได้รับ frame จาก access port จะ “รู้” ว่า frame นี้อยู่ VLAN อะไรจาก configuration ของ port นั้น
Trunk Port:
- รับส่ง traffic ของหลาย VLAN พร้อมกัน
- ใช้ต่อระหว่าง switch กับ switch, switch กับ router, switch กับ server (ที่ต้องการอยู่หลาย VLAN)
- ส่ง frame แบบ tagged (มี 802.1Q header) ยกเว้น native VLAN
- สามารถกำหนด allowed VLAN ได้ว่าจะให้ VLAN ไหนผ่าน trunk นี้ได้บ้าง
Access Port: Trunk Port:
PC ──── [Port: VLAN 10] ──── SW1 ──── [Trunk: VLAN 10,20,30] ──── SW2
frame ไม่มี tag frame มี 802.1Q tag
1 VLAN เท่านั้น หลาย VLAN พร้อมกันส่วนที่ 4: การตั้งค่า VLAN บน Cisco Switch — Step-by-Step CLI
4.1 การสร้าง VLAN
เริ่มต้นจากการสร้าง VLAN บน switch ด้วยคำสั่งง่ายๆ ใน global configuration mode:
! เข้าสู่ privileged exec mode
Switch> enable
Switch# configure terminal
! สร้าง VLAN 10 สำหรับ Sales
Switch(config)# vlan 10
Switch(config-vlan)# name Sales
Switch(config-vlan)# exit
! สร้าง VLAN 20 สำหรับ Engineering
Switch(config)# vlan 20
Switch(config-vlan)# name Engineering
Switch(config-vlan)# exit
! สร้าง VLAN 30 สำหรับ Finance
Switch(config)# vlan 30
Switch(config-vlan)# name Finance
Switch(config-vlan)# exit
! สร้าง VLAN 100 สำหรับ Voice
Switch(config)# vlan 100
Switch(config-vlan)# name Voice
Switch(config-vlan)# exit
! สร้าง VLAN 99 สำหรับ Management
Switch(config)# vlan 99
Switch(config-vlan)# name Management
Switch(config-vlan)# exit
! สร้าง VLAN 999 สำหรับ Parking (Black Hole)
Switch(config)# vlan 999
Switch(config-vlan)# name Parking_Unused
Switch(config-vlan)# exit4.2 การ Assign Port เป็น Access Port
หลังสร้าง VLAN แล้ว ต้อง assign port ให้อยู่ใน VLAN ที่ต้องการ:
! กำหนด port Fa0/1 - Fa0/8 ให้อยู่ใน VLAN 10 (Sales)
Switch(config)# interface range FastEthernet0/1 - 8
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 10
Switch(config-if-range)# switchport voice vlan 100
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# no shutdown
Switch(config-if-range)# exit
! กำหนด port Fa0/9 - Fa0/16 ให้อยู่ใน VLAN 20 (Engineering)
Switch(config)# interface range FastEthernet0/9 - 16
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 20
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# no shutdown
Switch(config-if-range)# exit
! กำหนด port Fa0/17 - Fa0/20 ให้อยู่ใน VLAN 30 (Finance)
Switch(config)# interface range FastEthernet0/17 - 20
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 30
Switch(config-if-range)# spanning-tree portfast
Switch(config-if-range)# spanning-tree bpduguard enable
Switch(config-if-range)# no shutdown
Switch(config-if-range)# exit
! Port ที่ไม่ได้ใช้ ให้ assign เข้า Parking VLAN แล้ว shutdown
Switch(config)# interface range FastEthernet0/21 - 24
Switch(config-if-range)# switchport mode access
Switch(config-if-range)# switchport access vlan 999
Switch(config-if-range)# shutdown
Switch(config-if-range)# exit4.3 การตั้งค่า Trunk Port
ตั้งค่า trunk port สำหรับเชื่อม switch ถึงกันหรือเชื่อมกับ router:
! ตั้งค่า Gi0/1 เป็น trunk port
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport trunk encapsulation dot1q
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk native vlan 999
Switch(config-if)# switchport trunk allowed vlan 10,20,30,99,100
Switch(config-if)# switchport nonegotiate
Switch(config-if)# no shutdown
Switch(config-if)# exitคำอธิบายแต่ละบรรทัด:
switchport trunk encapsulation dot1q— กำหนดให้ใช้ 802.1Q (บาง switch รุ่นใหม่ไม่ต้องระบุเพราะรองรับแค่ dot1q)switchport mode trunk— กำหนดให้ port เป็น trunk แบบถาวร (ไม่ต้อง negotiate)switchport trunk native vlan 999— เปลี่ยน native VLAN จาก 1 เป็น 999 (security best practice)switchport trunk allowed vlan 10,20,30,99,100— อนุญาตเฉพาะ VLAN ที่ต้องการเท่านั้น (pruning แบบ manual)switchport nonegotiate— ปิด DTP (Dynamic Trunking Protocol) เพื่อความปลอดภัย
4.4 การตั้งค่า Management VLAN (SVI)
สร้าง Switch Virtual Interface (SVI) สำหรับ management เพื่อให้สามารถ SSH เข้า switch ได้:
! สร้าง SVI สำหรับ VLAN 99 (Management)
Switch(config)# interface vlan 99
Switch(config-if)# ip address 10.0.99.2 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
! กำหนด default gateway
Switch(config)# ip default-gateway 10.0.99.1
! เปิด SSH
Switch(config)# hostname SW-Floor1
SW-Floor1(config)# ip domain-name corp.local
SW-Floor1(config)# crypto key generate rsa modulus 2048
SW-Floor1(config)# ip ssh version 2
SW-Floor1(config)# line vty 0 15
SW-Floor1(config-line)# transport input ssh
SW-Floor1(config-line)# login local
SW-Floor1(config-line)# exit
! สร้าง user สำหรับ SSH
SW-Floor1(config)# username admin privilege 15 secret StrongP@ss2026!4.5 คำสั่ง Verification — ตรวจสอบ VLAN
! ดู VLAN ทั้งหมดพร้อม port assignment
Switch# show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- ----------------------------
1 default active
10 Sales active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
20 Engineering active Fa0/9, Fa0/10, Fa0/11, Fa0/12
Fa0/13, Fa0/14, Fa0/15, Fa0/16
30 Finance active Fa0/17, Fa0/18, Fa0/19, Fa0/20
99 Management active
100 Voice active Fa0/1, Fa0/2, Fa0/3, Fa0/4
Fa0/5, Fa0/6, Fa0/7, Fa0/8
999 Parking_Unused active Fa0/21, Fa0/22, Fa0/23, Fa0/24
! ดูรายละเอียดของ trunk port
Switch# show interfaces trunk
Port Mode Encapsulation Status Native vlan
Gi0/1 on 802.1q trunking 999
Port Vlans allowed on trunk
Gi0/1 10,20,30,99,100
! ดูรายละเอียด interface
Switch# show interfaces FastEthernet0/1 switchportส่วนที่ 5: Inter-VLAN Routing — ทำให้ VLAN ต่างๆ สื่อสารกันได้
5.1 ทำไมต้อง Inter-VLAN Routing?
โดยปกติ อุปกรณ์ใน VLAN ต่างกันจะสื่อสารกันไม่ได้ เพราะอยู่คนละ broadcast domain (คนละ subnet) แต่ในความเป็นจริง เรามักต้องการให้บางแผนกสื่อสารกันได้ เช่น ฝ่ายขายต้องเข้าถึง file server ที่อยู่ใน Server VLAN หรือทุกแผนกต้องเข้า internet ได้ จึงต้องใช้ Inter-VLAN Routing ซึ่งทำได้ 2 วิธีหลัก
5.2 วิธีที่ 1: Router-on-a-Stick
Router-on-a-Stick เป็นวิธีคลาสสิคที่ใช้ router 1 ตัว ต่อสาย trunk เข้ากับ switch แล้วสร้าง sub-interface บน router สำหรับแต่ละ VLAN
! การตั้งค่า Router-on-a-Stick
! ฝั่ง Router:
Router(config)# interface GigabitEthernet0/0
Router(config-if)# no shutdown
! Sub-interface สำหรับ VLAN 10 (Sales)
Router(config)# interface GigabitEthernet0/0.10
Router(config-subif)# encapsulation dot1Q 10
Router(config-subif)# ip address 10.0.10.1 255.255.255.0
Router(config-subif)# exit
! Sub-interface สำหรับ VLAN 20 (Engineering)
Router(config)# interface GigabitEthernet0/0.20
Router(config-subif)# encapsulation dot1Q 20
Router(config-subif)# ip address 10.0.20.1 255.255.255.0
Router(config-subif)# exit
! Sub-interface สำหรับ VLAN 30 (Finance)
Router(config)# interface GigabitEthernet0/0.30
Router(config-subif)# encapsulation dot1Q 30
Router(config-subif)# ip address 10.0.30.1 255.255.255.0
Router(config-subif)# exit
! Sub-interface สำหรับ Native VLAN
Router(config)# interface GigabitEthernet0/0.999
Router(config-subif)# encapsulation dot1Q 999 native
Router(config-subif)# exit
! เปิด routing
Router(config)# ip routingข้อจำกัด: Router-on-a-Stick ใช้ physical link เดียว ทำให้เป็น bottleneck เมื่อ traffic ระหว่าง VLAN สูง เหมาะกับเครือข่ายขนาดเล็กที่มี inter-VLAN traffic ไม่มาก
5.3 วิธีที่ 2: Layer 3 Switch (SVI Routing) — แนะนำ
Layer 3 Switch (หรือ Multilayer Switch) คือ switch ที่สามารถทำ routing ได้ในตัวเอง โดยใช้ SVI (Switch Virtual Interface) ทำหน้าที่เป็น gateway ของแต่ละ VLAN วิธีนี้มีประสิทธิภาพสูงกว่า router-on-a-stick มากเพราะ routing ทำด้วย hardware (ASIC) แทนที่จะเป็น software
! การตั้งค่า Inter-VLAN Routing บน Layer 3 Switch
! เปิด routing
Switch(config)# ip routing
! SVI สำหรับ VLAN 10
Switch(config)# interface vlan 10
Switch(config-if)# ip address 10.0.10.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
! SVI สำหรับ VLAN 20
Switch(config)# interface vlan 20
Switch(config-if)# ip address 10.0.20.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
! SVI สำหรับ VLAN 30
Switch(config)# interface vlan 30
Switch(config-if)# ip address 10.0.30.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
! SVI สำหรับ Management VLAN 99
Switch(config)# interface vlan 99
Switch(config-if)# ip address 10.0.99.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
! เพิ่ม ACL เพื่อควบคุมการเข้าถึงระหว่าง VLAN
Switch(config)# ip access-list extended DENY-Finance-to-Engineering
Switch(config-ext-nacl)# deny ip 10.0.30.0 0.0.0.255 10.0.20.0 0.0.0.255
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# interface vlan 30
Switch(config-if)# ip access-group DENY-Finance-to-Engineering in
Switch(config-if)# exitLayer 3 Switch เป็นมาตรฐานที่ใช้ในองค์กรส่วนใหญ่ในปัจจุบัน เพราะให้ประสิทธิภาพสูง routing ด้วย hardware ASIC ได้ wire-speed (ไม่มี bottleneck) และลดจำนวนอุปกรณ์ที่ต้องบริหารจัดการ
5.4 เปรียบเทียบ Router-on-a-Stick vs Layer 3 Switch
คุณสมบัติ | Router-on-a-Stick | Layer 3 Switch (SVI)
-----------------------|--------------------------|---------------------------
Performance | ต่ำ (software routing) | สูง (hardware ASIC)
Bottleneck | มี (single link) | ไม่มี (internal backplane)
ต้นทุน | ต่ำ (ใช้ router ที่มี) | สูงกว่า (ต้องซื้อ L3 switch)
ความซับซ้อน | ปานกลาง | ต่ำกว่า
เหมาะกับ | SMB, lab, สอบ CCNA | Enterprise, production
Scalability | จำกัด | สูงส่วนที่ 6: VTP — VLAN Trunking Protocol
6.1 VTP คืออะไร?
VTP (VLAN Trunking Protocol) เป็น protocol ของ Cisco ที่ช่วยจัดการ VLAN ข้ามหลาย switch ได้อัตโนมัติ แทนที่จะต้องสร้าง VLAN บนทุก switch ด้วยมือ เพียงสร้าง VLAN บน VTP Server ตัวเดียว VLAN ก็จะถูก replicate ไปยัง switch ตัวอื่นๆ ที่อยู่ใน VTP domain เดียวกันโดยอัตโนมัติ
6.2 VTP Modes
- VTP Server — สร้าง แก้ไข ลบ VLAN ได้ และส่ง VLAN information ไปยัง switch อื่นๆ ผ่าน trunk
- VTP Client — รับ VLAN information จาก Server แต่ไม่สามารถสร้าง แก้ไข หรือลบ VLAN ได้เอง
- VTP Transparent — ไม่รับ VLAN info จาก Server แต่จะ forward VTP advertisement ให้ switch อื่น สร้าง VLAN ได้เองแต่เป็นแบบ local เท่านั้น
- VTP Off — เหมือน transparent แต่ไม่ forward VTP advertisement เลย
6.3 ข้อควรระวังของ VTP — VTP Bomb!
VTP เป็น protocol ที่ อันตรายมาก ถ้าไม่ระวัง เพราะมันใช้ revision number ในการตัดสินว่า VLAN database ไหนใหม่กว่า ถ้า switch ตัวใหม่ที่เคยอยู่ lab มี revision number สูงกว่า switch ใน production พอต่อเข้า network จะทำให้ VLAN database ทั้งหมดถูก overwrite ด้วย VLAN database จาก switch ตัวใหม่ ส่งผลให้ VLAN ทั้งหมดใน network หายไป — เรียกกันว่า VTP Bomb
! วิธีป้องกัน VTP Bomb:
! 1. ก่อนต่อ switch ใหม่เข้า network ให้ reset revision number ก่อน
Switch(config)# vtp mode transparent
Switch(config)# vtp mode client ! revision กลับเป็น 0
! 2. ใช้ VTP version 3 ที่มี primary server concept
Switch(config)# vtp version 3
! 3. ตั้ง VTP password
Switch(config)# vtp password MySecretVTP2026
! 4. หรือดีที่สุดคือใช้ VTP Transparent หรือ Off
Switch(config)# vtp mode transparentBest Practice สำหรับปี 2026: หลายองค์กรเลือกที่จะ ไม่ใช้ VTP เลย โดยตั้งทุก switch เป็น VTP transparent mode แล้วจัดการ VLAN ด้วย automation tool เช่น Ansible, Cisco DNA Center หรือ Meraki Dashboard แทน วิธีนี้ปลอดภัยกว่าและ predictable กว่า
ส่วนที่ 7: VLAN Security — ป้องกันการโจมตีผ่าน VLAN
7.1 VLAN Hopping Attack
VLAN Hopping เป็นการโจมตีที่ผู้โจมตีพยายามส่ง traffic ข้าม VLAN โดยไม่ผ่าน router มี 2 วิธีหลัก:
Switch Spoofing: ผู้โจมตีตั้งค่า NIC ของตัวเองให้ส่ง DTP (Dynamic Trunking Protocol) frames เพื่อ negotiate trunk กับ switch ถ้า switch port ตั้งค่าเป็น dynamic desirable หรือ dynamic auto ก็จะกลายเป็น trunk ได้ ทำให้ผู้โจมตีเข้าถึงทุก VLAN
Double Tagging: ผู้โจมตีส่ง frame ที่มี 802.1Q tag ซ้อน 2 ชั้น — ชั้นนอกเป็น native VLAN ชั้นในเป็น VLAN เป้าหมาย เมื่อ switch ตัวแรกได้รับ frame จะถอด tag ชั้นนอกออก (เพราะเป็น native VLAN) แล้วส่งต่อ frame ที่ยังมี tag ชั้นในไปยัง switch ตัวถัดไป switch ตัวถัดไปจะส่ง frame ไปยัง VLAN เป้าหมาย
7.2 วิธีป้องกัน VLAN Hopping
! 1. ปิด DTP ทุก port ที่เป็น access port
Switch(config-if)# switchport mode access
Switch(config-if)# switchport nonegotiate
! 2. ตั้ง trunk port เป็น mode trunk (ไม่ใช่ dynamic)
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport nonegotiate
! 3. เปลี่ยน Native VLAN ให้ไม่ใช่ VLAN ที่ใช้งาน
Switch(config-if)# switchport trunk native vlan 999
! 4. Tag native VLAN บน trunk (Cisco specific)
Switch(config)# vlan dot1q tag native
! 5. จำกัด allowed VLAN บน trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30,99,100
! 6. Shutdown port ที่ไม่ใช้ และ assign เข้า black hole VLAN
Switch(config-if)# switchport access vlan 999
Switch(config-if)# shutdown
! 7. เปิด Port Security
Switch(config-if)# switchport port-security
Switch(config-if)# switchport port-security maximum 2
Switch(config-if)# switchport port-security violation restrict
Switch(config-if)# switchport port-security mac-address sticky7.3 Private VLAN (PVLAN)
Private VLAN เป็นเทคนิคขั้นสูงที่ช่วย isolate อุปกรณ์ที่อยู่ใน VLAN เดียวกัน ใช้มากในสภาพแวดล้อม data center, ISP, co-location ที่ลูกค้าหลายรายอยู่ใน VLAN เดียวกันแต่ไม่ต้องการให้เห็นกัน
PVLAN แบ่ง port เป็น 3 ประเภท:
- Promiscuous Port — สื่อสารกับทุก port ได้ (มักเป็น port ที่ต่อกับ router หรือ firewall)
- Isolated Port — สื่อสารได้เฉพาะกับ promiscuous port เท่านั้น ไม่สามารถสื่อสารกับ port อื่นที่เป็น isolated หรือ community ได้เลย
- Community Port — สื่อสารกับ port ใน community เดียวกันและ promiscuous port ได้ แต่ไม่สามารถสื่อสารกับ community อื่นหรือ isolated port ได้
! ตัวอย่างการตั้งค่า Private VLAN
! สร้าง Primary VLAN
Switch(config)# vlan 100
Switch(config-vlan)# private-vlan primary
Switch(config-vlan)# private-vlan association 101,102
! สร้าง Secondary VLAN - Isolated
Switch(config)# vlan 101
Switch(config-vlan)# private-vlan isolated
! สร้าง Secondary VLAN - Community
Switch(config)# vlan 102
Switch(config-vlan)# private-vlan community
! ตั้งค่า Promiscuous Port (ต่อกับ router)
Switch(config)# interface Gi0/1
Switch(config-if)# switchport mode private-vlan promiscuous
Switch(config-if)# switchport private-vlan mapping 100 101,102
! ตั้งค่า Isolated Port (ลูกค้าแต่ละราย)
Switch(config)# interface Fa0/1
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 101
! ตั้งค่า Community Port
Switch(config)# interface Fa0/10
Switch(config-if)# switchport mode private-vlan host
Switch(config-if)# switchport private-vlan host-association 100 102ส่วนที่ 8: Network Segmentation Strategies — กลยุทธ์การแบ่งส่วนเครือข่าย
8.1 Network Segmentation คืออะไร?
Network Segmentation คือกระบวนการแบ่งเครือข่ายใหญ่ออกเป็นส่วนย่อยๆ (segments หรือ zones) เพื่อ:
- จำกัดผลกระทบเมื่อเกิดเหตุการณ์ด้านความปลอดภัย — ถ้าเครื่องในส่วนหนึ่งโดน malware ก็จะแพร่กระจายได้แค่ภายใน segment นั้น ไม่ลามไปทั้งองค์กร
- ควบคุมการเข้าถึง — กำหนดว่าใครเข้าถึงอะไรได้บ้าง ผ่าน ACL หรือ Firewall rules
- ลด attack surface — ผู้โจมตีที่เจาะเข้ามาได้จะเห็นแค่ segment เดียว ไม่ใช่ทั้ง network
- ผ่าน compliance — PCI-DSS, HIPAA, ISO 27001 ล้วนกำหนดให้ต้องมี network segmentation
8.2 Segmentation Layers
Network segmentation สามารถทำได้หลายระดับ:
Layer 2 Segmentation (VLAN): แบ่ง broadcast domain ด้วย VLAN เป็นพื้นฐานที่สุดและง่ายที่สุด แต่ไม่เพียงพอสำหรับ security ที่เข้มงวดเพราะถ้า router ทำ inter-VLAN routing โดยไม่มี ACL ก็ข้ามได้
Layer 3 Segmentation (Subnet + ACL/Firewall): แบ่ง subnet แล้วใช้ ACL หรือ firewall ควบคุม traffic ระหว่าง subnet ให้ผ่านได้เฉพาะที่อนุญาต
Layer 4-7 Segmentation (Application-level): ใช้ next-gen firewall หรือ application gateway ที่สามารถ inspect traffic ถึงระดับ application เช่น อนุญาตให้เข้า web server port 443 ได้ แต่ block traffic ที่ไม่ใช่ HTTPS ที่วิ่งบน port 443
8.3 Micro-Segmentation — แนวคิดยุคใหม่
Micro-segmentation เป็นแนวคิดที่ก้าวข้ามการแบ่งเครือข่ายแบบ VLAN ทั่วไป โดยทำ segmentation ลงไปถึงระดับ workload หรือแม้แต่ individual application เหมาะกับสภาพแวดล้อม data center และ cloud ที่ต้องการ Zero Trust Security
เครื่องมือที่ใช้ทำ micro-segmentation:
- VMware NSX — distributed firewall ที่ทำ segmentation ลงถึงระดับ VM
- Cisco ACI (Application Centric Infrastructure) — ใช้ EPG (Endpoint Group) และ contract-based policy
- Illumio — agentless micro-segmentation platform
- Guardicore (Akamai) — visibility และ segmentation สำหรับ data center
- Cloud-native — AWS Security Groups, Azure NSG, GCP Firewall Rules
8.4 PCI-DSS Network Segmentation
สำหรับองค์กรที่รับชำระเงินด้วยบัตรเครดิต มาตรฐาน PCI-DSS กำหนดอย่างเข้มงวดว่า Cardholder Data Environment (CDE) ต้องถูกแยกออกจากเครือข่ายอื่นทั้งหมด
แนวทาง PCI-DSS Network Segmentation:
Zone 1: CDE (Cardholder Data Environment)
├── POS terminals
├── Payment gateway servers
├── Database ที่เก็บ card data
└── VLAN: 50 | Subnet: 10.50.0.0/24
(Firewall: อนุญาตเฉพาะ payment traffic)
Zone 2: Corporate Network
├── พนักงานทั่วไป
├── Email, Web browsing
└── VLAN: 10-30 | Subnet: 10.10-30.0.0/24
(Firewall: ห้ามเข้า CDE โดยตรง)
Zone 3: DMZ
├── Web servers (public-facing)
├── Load balancer
└── VLAN: 60 | Subnet: 172.16.60.0/24
(Firewall: อนุญาตเฉพาะ HTTP/HTTPS)
Zone 4: Management
├── Network devices management
├── SIEM, monitoring
└── VLAN: 99 | Subnet: 10.99.0.0/24
(Firewall: เข้าได้เฉพาะจาก IT admin VLAN)ส่วนที่ 9: VLAN Design สำหรับ Campus Network
9.1 หลักการออกแบบ VLAN สำหรับองค์กร
การออกแบบ VLAN ที่ดีต้องคำนึงถึงหลายปัจจัย:
- แบ่งตามหน้าที่ — แยก data, voice, management, guest, IoT ออกจากกัน
- จำนวนอุปกรณ์ต่อ VLAN — ไม่ควรเกิน 200-250 อุปกรณ์ต่อ VLAN (เพื่อจำกัด broadcast domain ให้มีขนาดเหมาะสม)
- IP addressing scheme — วางแผน IP subnet ให้สอดคล้องกับ VLAN (เช่น VLAN 10 = 10.0.10.0/24, VLAN 20 = 10.0.20.0/24)
- Scalability — ออกแบบให้รองรับการเติบโตในอนาคต สำรอง VLAN ID ไว้
- ความเรียบง่าย — อย่าสร้าง VLAN เยอะเกินจำเป็น แต่ละ VLAN ต้องมีเหตุผลชัดเจนว่าทำไมต้องแยก
9.2 ตัวอย่าง VLAN Design สำหรับองค์กรขนาดกลาง
VLAN Design สำหรับองค์กร 500 คน 3 อาคาร:
VLAN ID | ชื่อ | Subnet | จำนวน Host | Description
---------|-------------------|--------------------|-----------|--------------------------
1 | default | (ไม่ใช้) | - | ไม่ assign อะไรใน VLAN 1
10 | Sales | 10.0.10.0/24 | 80 | ฝ่ายขาย
20 | Engineering | 10.0.20.0/24 | 120 | ฝ่ายวิศวกรรม
30 | Finance | 10.0.30.0/24 | 40 | ฝ่ายการเงิน
40 | HR | 10.0.40.0/24 | 30 | ฝ่ายบุคคล
50 | CDE | 10.0.50.0/24 | 15 | Payment systems (PCI-DSS)
60 | Server | 10.0.60.0/24 | 50 | Server farm
70 | Printer | 10.0.70.0/24 | 30 | Printers ทุกชั้น
80 | Guest | 10.0.80.0/24 | 100 | WiFi แขก (internet only)
90 | IoT | 10.0.90.0/24 | 50 | CCTV, sensors, BMS
99 | Management | 10.0.99.0/24 | 30 | Network device mgmt
100 | Voice | 10.0.100.0/24 | 200 | VoIP phones
110 | WirelessCorp | 10.0.110.0/24 | 150 | Corporate WiFi
999 | Parking | (ไม่มี IP) | - | Unused port parking
9.3 Campus Network Architecture — Three-Tier Design
Campus network ขนาดใหญ่มักใช้สถาปัตยกรรม 3 ชั้น:
- Access Layer — switch ที่ต่อตรงกับ end device (PC, phone, AP) เป็นจุดที่ assign VLAN ให้กับ port ใช้ switch Layer 2 เช่น Cisco Catalyst 9200, 2960
- Distribution Layer — Layer 3 switch ที่ทำ inter-VLAN routing, ACL, QoS ทำหน้าที่เป็น boundary ระหว่าง Access และ Core เช่น Cisco Catalyst 9300, 3850
- Core Layer — high-speed backbone ที่เชื่อม distribution switch ทั้งหมดเข้าด้วยกัน ต้องมี throughput สูง redundancy มาก เช่น Cisco Catalyst 9500, Nexus 9000
Campus Network Architecture:
┌──────────────┐
│ Core Layer │
│ Catalyst 9500 │
│ 40/100G links │
└──┬────────┬──┘
┌───────────┘ └──────────┐
┌─────┴─────┐ ┌──────┴─────┐
│Distribution│ │Distribution │
│ L3 Switch │ │ L3 Switch │
│Cat 9300 │ │Cat 9300 │
│Inter-VLAN │ │Inter-VLAN │
│ Routing │ │ Routing │
└─┬───┬───┬─┘ └─┬───┬───┬──┘
│ │ │ │ │ │
┌─┴┐┌─┴┐┌─┴┐ ┌──┴┐┌─┴┐┌─┴──┐
│AS││AS││AS│ │AS ││AS││AS │
│1 ││2 ││3 │ Access Layer │4 ││5 ││6 │
└──┘└──┘└──┘ └───┘└──┘└────┘
│ │ │ │ │ │
PCs PCs PCs PCs PCs PCsส่วนที่ 10: Troubleshooting VLAN — การแก้ปัญหา VLAN ที่พบบ่อย
10.1 ปัญหาที่พบบ่อยและวิธีแก้ไข
ปัญหา 1: PC ไม่สามารถสื่อสารกับ PC อีกตัวใน VLAN เดียวกัน
! ขั้นตอนตรวจสอบ:
! 1. ตรวจสอบ VLAN assignment ของ port
Switch# show vlan brief
Switch# show interfaces Fa0/1 switchport
! 2. ตรวจสอบว่า port up หรือไม่
Switch# show interfaces status
! 3. ตรวจสอบว่า VLAN มีอยู่ใน VLAN database
Switch# show vlan id 10
! 4. ตรวจสอบ MAC address table
Switch# show mac address-table vlan 10
! 5. ตรวจสอบ STP ว่า port ถูก block หรือไม่
Switch# show spanning-tree vlan 10ปัญหา 2: VLAN ไม่ข้ามไปอีก switch
! ขั้นตอนตรวจสอบ:
! 1. ตรวจสอบว่า trunk link up หรือไม่
Switch# show interfaces trunk
! 2. ตรวจสอบ allowed VLAN บน trunk
Switch# show interfaces Gi0/1 trunk
! 3. ตรวจสอบ native VLAN ทั้ง 2 ฝั่งตรงกัน
Switch# show interfaces Gi0/1 switchport | include Native
! 4. ตรวจสอบ VTP status
Switch# show vtp status
! 5. ตรวจสอบว่า VLAN ถูกสร้างบน switch ปลายทาง
! (ถ้า VTP transparent ต้องสร้าง VLAN ด้วยมือ)ปัญหา 3: Inter-VLAN routing ไม่ทำงาน
! ขั้นตอนตรวจสอบ:
! 1. ตรวจสอบว่า ip routing เปิดอยู่
Switch# show ip route
! 2. ตรวจสอบ SVI status
Switch# show ip interface brief | include Vlan
! 3. ตรวจสอบ default gateway ของ PC
PC> ipconfig /all
PC> ping 10.0.10.1 (ping gateway ของ VLAN ตัวเอง)
! 4. ตรวจสอบ ACL ที่อาจ block traffic
Switch# show ip access-lists
Switch# show interfaces vlan 10 | include access10.2 VLAN Troubleshooting Checklist
- ตรวจสอบ VLAN assignment:
show vlan brief - ตรวจสอบ trunk status:
show interfaces trunk - ตรวจสอบ native VLAN match ทั้ง 2 ฝั่ง
- ตรวจสอบ allowed VLAN บน trunk ครอบคลุม VLAN ที่ต้องการ
- ตรวจสอบ STP ไม่ block port ที่ไม่ควร block
- ตรวจสอบ VTP revision number ไม่ overwrite VLAN database
- ตรวจสอบว่า VLAN มีอยู่บนทุก switch ที่เกี่ยวข้อง
- ตรวจสอบ IP address และ subnet mask ของ SVI
- ตรวจสอบ ACL ไม่ block traffic ที่ต้องการ
- ตรวจสอบ physical link (cable, SFP) ทำงานปกติ
ส่วนที่ 11: VLAN Best Practices สำหรับปี 2026
11.1 สรุป Best Practices
- อย่าใช้ VLAN 1 — ย้าย management และ data ทั้งหมดออกจาก VLAN 1 ใช้ VLAN 1 เป็น “dead VLAN”
- เปลี่ยน Native VLAN — ใช้ VLAN ที่ไม่ได้ใช้งาน (เช่น 999) เป็น native VLAN เพื่อป้องกัน double tagging attack
- ปิด DTP — ใช้
switchport nonegotiateบนทุก port ทั้ง access และ trunk - Shutdown port ที่ไม่ใช้ — assign เข้า black hole VLAN แล้ว shutdown
- จำกัด allowed VLAN บน trunk — อนุญาตเฉพาะ VLAN ที่จำเป็น อย่าใช้
allowed vlan all - ใช้ Port Security — จำกัดจำนวน MAC address ต่อ port
- ใช้ DHCP Snooping — ป้องกัน rogue DHCP server ภายใน VLAN
- ใช้ Dynamic ARP Inspection (DAI) — ป้องกัน ARP spoofing attack
- ใช้ 802.1X — authenticate อุปกรณ์ก่อนอนุญาตให้เข้า VLAN ด้วย RADIUS server
- Document ทุกอย่าง — บันทึก VLAN ID, name, subnet, purpose, port assignment ไว้เสมอ
- ใช้ automation — จัดการ VLAN ด้วย Ansible, Terraform, Cisco DNA Center แทนการ config ด้วยมือ
- Monitor VLAN — ใช้ SNMP หรือ monitoring tool ติดตาม broadcast traffic, VLAN utilization, trunk link usage
11.2 เทรนด์ VLAN ในปี 2026
- Software-Defined Access (SDA) — Cisco DNA Center ทำ VLAN assignment อัตโนมัติผ่าน policy ไม่ต้อง config per-port
- VXLAN — ใช้แทน VLAN ใน data center ที่ต้องการมากกว่า 4,094 segment รองรับ multi-tenancy
- Intent-Based Networking — ระบุ intent (เช่น “ฝ่ายการเงินเข้าถึง ERP ได้เท่านั้น”) แล้ว controller จะ translate เป็น VLAN, ACL, QoS policy ให้อัตโนมัติ
- Dynamic VLAN Assignment — ใช้ 802.1X + RADIUS server assign VLAN ตาม identity ของ user ไม่ใช่ตาม physical port
สรุป: VLAN และ Network Segmentation คือรากฐานของเครือข่ายที่ปลอดภัยและมีประสิทธิภาพ
VLAN เป็นเทคโนโลยีที่ดูเหมือนง่าย แต่มีความลึกซึ้งมากเมื่อต้องออกแบบและ deploy ในสภาพแวดล้อมจริง การเข้าใจ VLAN อย่างถ่องแท้ — ตั้งแต่พื้นฐาน 802.1Q tagging, access vs trunk port, inter-VLAN routing ไปจนถึง VLAN security, network segmentation strategies, PCI-DSS compliance และ micro-segmentation — จะทำให้ท่านสามารถออกแบบเครือข่ายที่ทั้งปลอดภัย มีประสิทธิภาพ และบริหารจัดการได้ง่าย
สำหรับผู้ที่กำลังเตรียมสอบ CCNA VLAN เป็นหัวข้อที่ออกสอบเยอะมาก ทั้ง VLAN configuration, trunking, inter-VLAN routing และ troubleshooting ส่วนในการทำงานจริง VLAN คือสิ่งที่ Network Engineer ต้องใช้ทุกวัน ไม่ว่าจะเป็นการเพิ่มแผนกใหม่ ตั้งค่า guest WiFi หรือทำให้ระบบผ่าน security audit
ในบทความถัดไป เราจะพูดถึง Enterprise Wireless (WiFi 6/6E/7) ซึ่งเป็นเทคโนโลยีที่ทำงานร่วมกับ VLAN อย่างแนบแน่น — access point แต่ละตัวจะ broadcast หลาย SSID แต่ละ SSID map กับ VLAN คนละตัว ทำให้ wireless network มีความปลอดภัยเทียบเท่า wired network
