Basic : Configuration VLAN on switch Cisco

VLAN คืออะไร

VLAN (Virtual Area Network) เป็นการจัดแยกการเชื่อมต่อเครือข่ายในรูปแบบที่เรียกว่า Domainซึ่งจุประสงค์ของการแยกออกเป็น Domain นี้ ก็เพื่อให้เครื่คอมเตอร์ที่อยู่ต่าง Domain ไม่สามารถสื่อสารกันได้ทั้งนี้เพื่อความปลอดภัยของเครือข่ายรวมทั้งสามารถเพิ่มประสิทธิภาพการ ทํางาน ของเครือข่ายอีกดด้วย ในหนึ่งเครือข่ายอาจประกอบด้วย Switching Hub หลาย ๆ ตัว และใน Switching Hub หนึ่งตัวอาจประกอบด้วย VLAN หลาย ๆ Domainหรือหลาย VLAN ก็เป็นได้ การแบ่ง VLAN จะทําให้เครื่องคอมพิวเตอร์แม้จะเชื่อมต่อกันใน Switches Hub เดียวกัน แต่อยู่ต่าง VLAกันไม่สามารถสื่อสารกันไดรวมทั้งไม่สามารถมองเห็นกันไดด้วยซ้ำไป

ประโยชน์ที่จะได้รับจากการทํา VLAN
–  จํากัดการแพร่กระจายของ Broadcast traffic  ไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของ Network หรือเรียกว่า 1 VLAN  คือ  1  Broadcast Domain  นั่นเอง
–  สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง Access Control List  บนอุปกรณ์ layer 3 และลดความเสี่ยงเกี่ยวกับการดักจับข้อมูล  (Sniffing)
–  ผู้ใชสามารถที่จะเคลื่อนย้ายไปยัง  VLAN (Subnet) อื่น ๆ ได้โดยเพียงแค่การเปลี่ยน config  ของ  switch และ IP Address ของ Client เพียงนิดเดียว ไม่จําเป็นต้องมีการย้าย  switch หรือ สายใด ๆ
-สามารถรองรับการขยายตัวของระบบ  Network  ที่จะเพิ่มขึ้นในอนาคตได้ง่าย เนื่องจากมี การวางแผนเกี่ยวกับการทํา sebnet และการ design ระบบที่ไม่ยึดติดกับททางกายภาพอีกต่อไป
–  สามารถวิเคราะห์ปัญหาที่เกิดขึ้นในระบบได้ง่ายขึ้น เช่น ในระบบมีการแบ่ง VLAN  ไว้ 3  แผนก ได้แก่ sale , engineer  และ  server  วันหนึ่ง  user  ของ  sale  โทรมาแจ้งปัญหากับ  admin  ว่าเล่น  Internet  ไม่ได้เราเป็น Adminควรจะถาม user กลับไปว่าคนอื่นในแผนกเป็นด้วยหรือไม่ ถ้าไม่ก็แสดงว่าเป็นที่เครื่องของ  user คนนั้นคน
เดียวแต่ถ้าหากเป็นทั้งแผนก ก็ต้องโทรเช็คกับแผนก  engineer ด้วยว่าเป็นเหมือนกันหรือไม่ถ้าไม่เป็นแสดงว่าเป็นที่แผนก sale แผนกเดียว ดังนั้นก็ทําการตรวจเช็คปัญหาที่แผนก  sale อย่างเดียว เห็นมั๊ยคะการวิเคราะห์ปัญหาง่ายขึ้นมากและการขอบเขตในการวิเคราะห์ปัญหาก็แคบลงที่สําคัญตอนการแก้ปัญหาก็ควรนําหลักการ OSI Layer  เขามาช่วยนะครับ จะทําให้หาสาเหตุได้เร็วขึ้นครับ ในการสร้าง VLAN นั้น port ของ switch นั้นจะทําหน้าที่อยู 2 ประเภท คือ Access port  และ  Trunk port ซึ่งจะมีหน้าการทํางานต่าง ๆ กันไปตามที่  System Administrator  จะเป็นคนกําหนดไว้ซึ่งหน้าที่หลัก ๆ ของทั้งสองแบบนี้คือAccess Portเป็น  Port  ที่ทําหน้าที่เชื่อมต่อระหว่าง  switch  จาก  Client  ไปยัง  switch  ซึ่งเราจะใช้สาย  Lan  แบบสายตรง (Straight Through)  ในการเชื่อมต่อ และ  port  ที่ถูก  set  เป็ น  Access Port  นี้จะมี  traffic  ของ VLAN เพียง  VLAN เดียวที่วิ่งผ่านออกมายัง  port นี้ หรือ port นี้จะต่ออยู่กับอุปกรณ์ที่มีค่า  mac address เพียงค่าเดียวนั่นเอง เช่น
–  port ที่ set ระหว่าง switch และ Client
–  port ที่ set ระหว่าง switch และ Server
–  port  ที่  set  ระหว่าง  switch  และ  Router  (มีข้อแม้ว่า  Router  ที่เชื่อมต่อนั้น จะต้องไม่ใช่  Router  ที่ทําหน้าที่ในการ Route Traffic ของ Inter VLAN)
Trunk Port
เป็น  port  ที่ทําหน้าที่  connect switch  ตัวอื่น ๆ  ที่ต้องการให้เป็นสมาชิกของ  VLAN  ต่าง ๆ กันมาอยู่ด้วยกันและทําหน้าที่ส่งผ่าน  traffic  ของหลาย ๆ  VLAN  ให้กระจายไปยัง  switch  ตัวอื่น ๆ ที่มี  port  ที่ถูกกําหนดใหเป็น  VLAN เดียวกันกับ  switch  ตัวต้ นทางได้ หรือ ที่เรียกกันโดยทั่วไปว่า  Uplink Port  หรือจําง่ายๆว่า Trunk port เป็น  port ที่มีค่าหลายๆ ค่าวิ่งผ่าน เช่น  VLAN หลายๆ VLAN  หรือมีค่า  Mac address  หลายๆ ค่าวิ่งผ่าน นั่นเอง ตัวอย่างในการ set port ให้เป็น Trunk port ก็ คือ
–  port ที่ทําหน้าที่ connect ไปยัง switch ตัวอื่น ๆ เช่น Uplink Port
–  port ที่ทําหน้าที่เชื่อม ไปยัง Router  ตัวที่ทําหน้าที่ Route Traffic ระหว่าง VLAN

Step
1.  สร้างหมายเลข  VLAN และ ชื่อของ VLAN  ขึ้นมาก่อน
2.  กําหนด port (interface) ที่ต้องการให้อยู่ Vlan นั้นๆ

การสร้าง VLAN

Switch 1
Switch1> enable
Switch1# configure terminal
Switch1(config)# vlan 2
Switch1(config-vlan)# name Admin
Switch1(config-vlan)# vlan 3
Switch1(config-vlan)# name User
จากนั้นทําการกําหนด  interface  ให้กับแต่ละ VLAN
Switch1> enable
Switch1# configure terminal

Switch1 (config)# interface fa0/2
Switch1 (config-if)# switchport mode access
Switch1 (config-if)# switchport access vlan 2
Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/3
Switch1 (config-if)# switchport mode access
Switch1 (config-if)# switchport access vlan 2
Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/4
Switch1 (config-if)# switchport mode access
Switch1 (config-if)# switchport access vlan 3
Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/5
Switch1 (config-if)# switchport mode access
Switch1 (config-if)# switchport access vlan 3
Switch1 (config-if)# no shutdown
Switch1 (config)# interface fa0/1
Switch1 (config-if)# switchport mode trunk
Switch1 (config-if)#switchport trunk encapsulation dot1q

หมายเหตุ ค่า encapsulation ของ mode trunk  มี 2 ประเภท คือ  dot1q  และ isl
โดยส่วนใหญ่แล้วมักจะใช้เป็นค่ามาตรฐาน ที่ทุกๆ product  สามารถรองรับได คือ  dot1q (IEEE802.1q)  สวนคา
encapsulation  แบบ  ISL  เป็นค่าเฉพาะของ product CISCO  เท่านั้น

ในส่วนของการ config VLAN  ที่  switch2     รูปแบบ  config เหมือนกันเลยครับ (เนื่องจากวาต่อ diagram เหมือนกัน)
เพิ่มเติม เราสามารถ manage port หลาย port พร้อมกันได้ ด้วย  range นะครับเช่น
Switch1 (config)# interface range fa0/2-3
Switch1 (config-if-range)# switchport mode access
Switch1 (config-if-range)# switchport access vlan 2
Switch1 (config-if-range)# no shutdown
หรือถ้า port ที่ set ไม่เรียงต่อกันก็ใช้  ( , ) ช่วยได้ครับ เช่น
Switch1 (config)# interface range fa0/2 , fa0/5 , fa0/10 , fa0/20

Switch 2
Switch2> enable
Switch2# configure terminal
Switch2(config)# vlan 2
Switch2(config-vlan)# name Admin
Switch2(config-vlan)# vlan 3
Switch2(config-vlan)# name User
จากนั้นทําการกําหนด  interface  ให้กับแต่ละ VLAN
Switch2> enable
Switch2# configure terminal
Switch2 (config)# interface range fa0/2 – 3
Switch2 (config-if-range)# switchport mode access
Switch2 (config-if-range)# switchport access vlan 2
Switch2 (config-if-range)# no shutdown
Switch2 (config)# interface range fa0/4 – 5
Switch2 (config-if-range)# switchport mode access
Switch2 (config-if-range)# switchport access vlan 3
Switch2(config-if-range)# no shutdown
Switch2 (config)# interface fa0/1
Switch2 (config-if)# switchport mode trunk
Switch2 (config-if)#switchport trunk encapsulation dot1q
หมายเหตุ
เราสามารถดูสถานะของ  interface  และ VLAN ไดด้วยคําสั่ ง show vlan หรือ show vlan brief ที่ privilege
mode ได้ครับ

 

ข้อมูลอ้างอิง http:// www.jodoi.com
 ที่มา: http://www.greatinfonet.co.th/15396457/vlan