VLAN คืออะไร? ทำไมต้องแบ่ง Network ด้วย VLAN
VLAN (Virtual LAN) คือ เทคโนโลยีที่แบ่ง Network ทางกายภาพออกเป็น Network ย่อยหลายวง (Broadcast Domain) โดยไม่ต้องใช้ Switch แยกแต่ละวง VLAN ทำให้อุปกรณ์ที่อยู่คนละ Port หรือคนละ Switch สามารถอยู่ใน Network เดียวกันได้ และอุปกรณ์ที่อยู่ Port ข้างกันก็สามารถอยู่คนละ Network ได้ สำหรับองค์กร VLAN เป็นสิ่งจำเป็น เพราะช่วยเพิ่ม Security แยก Traffic ลด Broadcast Storm และจัดการ Network ได้ง่ายขึ้น
ทำไมต้องแบ่ง VLAN
| เหตุผล | รายละเอียด |
|---|---|
| Security | แยก Traffic แต่ละแผนก ป้องกันการเข้าถึงข้อมูลข้ามแผนก เช่น Finance ไม่เห็น Traffic ของ IT |
| ลด Broadcast | Broadcast จะอยู่ภายใน VLAN เท่านั้น ไม่กระจายไปทั้ง Network ลดปัญหา Broadcast Storm |
| QoS | แยก Voice VLAN สำหรับ IP Phone ให้ Priority สูง เสียงไม่กระตุก |
| จัดการง่าย | ย้าย User ไป VLAN อื่นได้ง่าย ไม่ต้องย้ายสาย แค่เปลี่ยน Port VLAN |
| Compliance | มาตรฐาน PCI-DSS, ISO 27001 กำหนดให้แยก Network ตามประเภทข้อมูล |
| แยกอุปกรณ์ | แยก VLAN สำหรับกล้อง CCTV, Printer, Guest WiFi ไม่ปนกับ User |
ตัวอย่างการแบ่ง VLAN สำหรับองค์กร
| VLAN ID | ชื่อ | Subnet | อุปกรณ์ |
|---|---|---|---|
| 10 | Management | 10.0.10.0/24 | Switch, AP, Firewall Management |
| 20 | Server | 10.0.20.0/24 | Server, NAS, Domain Controller |
| 30 | Staff | 10.0.30.0/24 | PC พนักงานทั่วไป |
| 40 | Finance | 10.0.40.0/24 | PC แผนกการเงิน (แยกเพื่อ Security) |
| 50 | CCTV | 10.0.50.0/24 | กล้อง IP Camera, NVR |
| 60 | Voice | 10.0.60.0/24 | IP Phone |
| 70 | Printer | 10.0.70.0/24 | Printer, Scanner |
| 80 | Guest | 10.0.80.0/24 | WiFi Guest (เข้า Internet เท่านั้น) |
Access Port vs Trunk Port
| ประเภท | คำอธิบาย | ใช้กับ |
|---|---|---|
| Access Port | Port ที่เป็นสมาชิกของ VLAN เดียว ส่ง Frame แบบ Untagged | เชื่อมต่อ End Device (PC, IP Phone, Printer, AP) |
| Trunk Port | Port ที่ส่ง Traffic หลาย VLAN พร้อมกัน ใช้ 802.1Q Tag | เชื่อมต่อ Switch-Switch, Switch-Router, Switch-Firewall |
802.1Q VLAN Tagging
802.1Q เป็นมาตรฐานที่เพิ่ม Tag 4 bytes ใน Ethernet Frame เพื่อระบุว่า Frame นี้เป็นของ VLAN ไหน Trunk Port จะเพิ่ม Tag เมื่อส่ง Frame ออก และถอด Tag เมื่อรับ Frame เข้า Access Port จะส่ง Frame แบบ Untagged
ตั้งค่า VLAN บน Cisco Switch
! สร้าง VLAN
vlan 30
name Staff
vlan 40
name Finance
vlan 50
name CCTV
! Access Port สำหรับ PC
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 30
! Trunk Port สำหรับเชื่อม Switch
interface GigabitEthernet0/24
switchport mode trunk
switchport trunk allowed vlan 10,20,30,40,50,60
! Voice VLAN สำหรับ IP Phone
interface GigabitEthernet0/5
switchport mode access
switchport access vlan 30
switchport voice vlan 60ตั้งค่า VLAN บน MikroTik
# สร้าง VLAN Interface
/interface vlan
add interface=ether1 name=vlan30-staff vlan-id=30
add interface=ether1 name=vlan50-cctv vlan-id=50
# กำหนด IP ให้ VLAN
/ip address
add address=10.0.30.1/24 interface=vlan30-staff
add address=10.0.50.1/24 interface=vlan50-cctv
# Bridge VLAN (สำหรับ Switch Mode)
/interface bridge vlan
add bridge=bridge1 tagged=ether1 untagged=ether2,ether3 vlan-ids=30
add bridge=bridge1 tagged=ether1 untagged=ether4,ether5 vlan-ids=50Inter-VLAN Routing
อุปกรณ์ใน VLAN คนละวงจะคุยกันไม่ได้โดยตรง ต้องมี Router หรือ L3 Switch ทำ Inter-VLAN Routing
- Router on a Stick: ใช้ Router 1 Port เป็น Trunk ทำ Sub-Interface สำหรับแต่ละ VLAN เหมาะองค์กรเล็ก
- L3 Switch (SVI): ใช้ Layer 3 Switch สร้าง SVI (Switch Virtual Interface) สำหรับแต่ละ VLAN Route ภายใน Switch เลย เร็วกว่า เหมาะองค์กรกลาง-ใหญ่
- Firewall Inter-VLAN: ใช้ Firewall ทำ Routing + Filtering ระหว่าง VLAN ควบคุม Security ได้ดีที่สุด
VLAN Best Practices
- ไม่ใช้ VLAN 1: VLAN 1 เป็น Default VLAN อย่าใช้สำหรับ Production Traffic แยก VLAN ใหม่เสมอ
- Native VLAN: เปลี่ยน Native VLAN บน Trunk จาก VLAN 1 เป็น VLAN อื่น (เช่น 999) เพื่อ Security
- Trunk Allowed VLAN: กำหนดเฉพาะ VLAN ที่ต้องใช้บน Trunk อย่าปล่อย Allow All
- DHCP per VLAN: ตั้ง DHCP Server แยกสำหรับแต่ละ VLAN หรือใช้ DHCP Relay
- Document: บันทึก VLAN ID, ชื่อ, Subnet, Port Assignment เป็นเอกสาร
- อย่าแบ่งมากเกินไป: แบ่ง VLAN ตามความจำเป็น ไม่ใช่แบ่งทุกแผนก ถ้าไม่มีเหตุผลด้าน Security
สรุป VLAN — พื้นฐานของ Network Security องค์กร
VLAN เป็นเทคโนโลยีพื้นฐานที่ทุกองค์กรต้องใช้ ช่วยเพิ่ม Security ลด Broadcast และจัดการ Network ได้ง่ายขึ้น สิ่งสำคัญคือวางแผนการแบ่ง VLAN ให้เหมาะสม ตั้ง Trunk อย่างปลอดภัย และ Document ทุกอย่าง หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
