VLAN คืออะไร? ทำไมองค์กรต้องแบ่ง Network ด้วย VLAN
VLAN (Virtual Local Area Network) คือ เทคโนโลยีที่ใช้แบ่ง Network ทางกายภาพออกเป็นหลาย Network เสมือน (Virtual Network) บน Switch เดียวกัน ทำให้อุปกรณ์ที่อยู่คนละ VLAN ไม่สามารถสื่อสารกันได้โดยตรง แม้จะเสียบสาย LAN อยู่บน Switch ตัวเดียวกัน VLAN เป็นเทคโนโลยีพื้นฐานที่สำคัญที่สุดอย่างหนึ่งในการออกแบบ Network องค์กร ช่วยเรื่อง Security, Performance, และ Management อย่างมาก
ประโยชน์ของ VLAN สำหรับองค์กร
| ประโยชน์ | รายละเอียด | ตัวอย่าง |
|---|---|---|
| Security | แยก Network แต่ละแผนกไม่ให้เข้าถึงกันโดยตรง | แผนกบัญชีเข้า Server บัญชีได้ แต่ฝ่าย IT เข้าไม่ได้ |
| Performance | ลด Broadcast Domain ลดปริมาณ Broadcast Traffic | Network 200 เครื่องแบ่งเป็น 4 VLAN = Broadcast Domain ละ 50 เครื่อง |
| Management | จัดกลุ่มอุปกรณ์ตาม Function ไม่ต้องตามสายกายภาพ | ย้ายพนักงานไปชั้น 3 แค่เปลี่ยน VLAN ไม่ต้องเดินสายใหม่ |
| Compliance | แยก Network ตามข้อกำหนด PCI-DSS, ISO 27001 | แยก Payment Network ออกจาก Office Network |
| QoS | จัดลำดับความสำคัญ Traffic ตาม VLAN | VLAN VoIP ได้ Priority สูงกว่า VLAN WiFi Guest |
ประเภทของ VLAN
- Data VLAN: VLAN สำหรับ Traffic ข้อมูลทั่วไป เช่น VLAN แผนก IT, VLAN แผนกบัญชี
- Voice VLAN: VLAN เฉพาะสำหรับ VoIP Traffic แยกจาก Data เพื่อให้ QoS ทำงานได้ดี
- Management VLAN: VLAN สำหรับ Management Traffic ของอุปกรณ์ Network (SSH, SNMP, Web GUI)
- Native VLAN: VLAN Default สำหรับ Untagged Traffic บน Trunk Port (Default = VLAN 1)
- Guest VLAN: VLAN สำหรับผู้มาเยือนหรือ WiFi Guest แยกจาก Network ภายใน
Access Port vs Trunk Port
| คุณสมบัติ | Access Port | Trunk Port |
|---|---|---|
| จำนวน VLAN | 1 VLAN ต่อ Port | หลาย VLAN ผ่าน Port เดียว |
| Tagging | ไม่มี Tag (Untagged) | 802.1Q Tag ทุก Frame (ยกเว้น Native VLAN) |
| เชื่อมต่อกับ | PC, Printer, IP Phone, Server | Switch อีกตัว, Router, Firewall, AP |
| ตัวอย่าง | Port 1-24 เสียบ PC พนักงาน | Port 25-28 (SFP) เชื่อม Core Switch |
802.1Q VLAN Tagging ทำงานอย่างไร
IEEE 802.1Q คือมาตรฐานที่ใช้ Tag VLAN ID ลงใน Ethernet Frame เพื่อให้ Switch รู้ว่า Frame นั้นอยู่ VLAN ไหน
- Tag Header: เพิ่ม 4 bytes เข้าไปใน Ethernet Frame ประกอบด้วย TPID (0x8100) + Priority (3 bits) + CFI (1 bit) + VLAN ID (12 bits)
- VLAN ID Range: 1-4094 (VLAN 0 และ 4095 สงวนไว้) รวม 4,094 VLANs
- เมื่อ Frame เข้า Access Port: Switch ใส่ Tag ของ VLAN ที่กำหนดให้ Port นั้น
- เมื่อ Frame ออก Access Port: Switch ถอด Tag ออก ส่ง Untagged Frame ให้ PC
- เมื่อ Frame ผ่าน Trunk Port: Tag ยังคงอยู่ เพื่อให้ Switch ปลายทางรู้ว่าอยู่ VLAN ไหน
ออกแบบ VLAN สำหรับองค์กร — ตัวอย่างจริง
| VLAN ID | ชื่อ | Subnet | วัตถุประสงค์ |
|---|---|---|---|
| VLAN 10 | MGMT | 10.0.10.0/24 | Management Switch, AP, Router |
| VLAN 20 | SERVER | 10.0.20.0/24 | Server Farm |
| VLAN 30 | IT | 10.0.30.0/24 | แผนก IT |
| VLAN 40 | OFFICE | 10.0.40.0/24 | แผนกทั่วไป |
| VLAN 50 | FINANCE | 10.0.50.0/24 | แผนกการเงิน/บัญชี |
| VLAN 60 | VOIP | 10.0.60.0/24 | ระบบโทรศัพท์ VoIP |
| VLAN 70 | WIFI-CORP | 10.0.70.0/24 | WiFi พนักงาน |
| VLAN 80 | WIFI-GUEST | 10.0.80.0/24 | WiFi ผู้มาเยือน (Internet Only) |
| VLAN 90 | CCTV | 10.0.90.0/24 | กล้องวงจรปิด + NVR |
| VLAN 100 | PRINTER | 10.0.100.0/24 | เครื่องพิมพ์ Network |
ตั้งค่า VLAN บน Managed Switch (Cisco IOS)
! สร้าง VLAN
Switch(config)# vlan 30
Switch(config-vlan)# name IT
Switch(config-vlan)# exit
Switch(config)# vlan 40
Switch(config-vlan)# name OFFICE
Switch(config-vlan)# exit
! ตั้ง Access Port (เสียบ PC)
Switch(config)# interface GigabitEthernet0/1
Switch(config-if)# switchport mode access
Switch(config-if)# switchport access vlan 30
Switch(config-if)# spanning-tree portfast
Switch(config-if)# exit
! ตั้ง Trunk Port (เชื่อม Switch)
Switch(config)# interface GigabitEthernet0/24
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk allowed vlan 10,20,30,40,50,60
Switch(config-if)# switchport trunk native vlan 10
Switch(config-if)# exitInter-VLAN Routing — ให้ VLAN คุยกันได้
ปกติอุปกรณ์คนละ VLAN สื่อสารกันไม่ได้ ถ้าต้องการให้ VLAN บางคู่สื่อสารกันได้ ต้องใช้ Router หรือ Layer 3 Switch ทำ Inter-VLAN Routing
วิธีที่ 1: Router-on-a-Stick
ใช้ Router 1 Port ต่อเป็น Trunk เข้า Switch แล้วสร้าง Sub-Interface สำหรับแต่ละ VLAN
Router(config)# interface GigabitEthernet0/0.30
Router(config-subif)# encapsulation dot1Q 30
Router(config-subif)# ip address 10.0.30.1 255.255.255.0
Router(config-subif)# exit
Router(config)# interface GigabitEthernet0/0.40
Router(config-subif)# encapsulation dot1Q 40
Router(config-subif)# ip address 10.0.40.1 255.255.255.0
Router(config-subif)# exitวิธีที่ 2: Layer 3 Switch (SVI)
ใช้ Layer 3 Switch สร้าง SVI (Switch Virtual Interface) สำหรับแต่ละ VLAN ประสิทธิภาพดีกว่า Router-on-a-Stick เพราะ Routing ทำใน Hardware (ASIC)
Switch(config)# ip routing
Switch(config)# interface vlan 30
Switch(config-if)# ip address 10.0.30.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exit
Switch(config)# interface vlan 40
Switch(config-if)# ip address 10.0.40.1 255.255.255.0
Switch(config-if)# no shutdown
Switch(config-if)# exitVLAN Best Practices
- เปลี่ยน Native VLAN: อย่าใช้ VLAN 1 เป็น Native VLAN เปลี่ยนเป็น VLAN อื่น (เช่น VLAN 999) เพื่อป้องกัน VLAN Hopping Attack
- Disable Unused Ports: Port ที่ไม่ได้ใช้ให้ Shutdown และใส่ใน VLAN ที่ไม่มี Gateway
- Limit Trunk Allowed VLANs: อย่า Allow All VLANs บน Trunk ให้ Allow เฉพาะที่จำเป็น
- ใช้ ACL/Firewall ควบคุม Inter-VLAN: แม้ทำ Inter-VLAN Routing แล้ว ให้ใช้ ACL กำหนดว่า VLAN ไหนเข้าถึงอะไรได้บ้าง
- Document ทุก VLAN: ทำเอกสาร VLAN ID, Name, Subnet, Purpose, Port Assignment ให้ครบ
- วาง VLAN ID ให้เป็นระบบ: ใช้ VLAN ID ที่มีความหมาย เช่น VLAN 10=MGMT, 20=SERVER, 30-50=User Groups
สรุป VLAN — เทคโนโลยีพื้นฐานที่ทุกองค์กรต้องใช้
VLAN เป็นเทคโนโลยีพื้นฐานที่สำคัญที่สุดในการออกแบบ Network องค์กร ช่วยเรื่อง Security, Performance, และ Management อย่างมาก การออกแบบ VLAN ที่ดีตั้งแต่แรกจะช่วยลดปัญหาและค่าใช้จ่ายในระยะยาว หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
