วันอังคารที่ 17 กันยายน พ.ศ. 2562

How to Creating Security Policy (Zoning) Fortigate Firewall

สวัสดีครับ
บทความนี้อธิบายเกี่ยวกับขั้นตอนการสร้าง Security Policy หรือการทำ Zoning นั่นเอง ซึ่งสามารถนำไปใช้ได้กับ FortiOS ทุก Version เลยนะครับ จะมี  Concept ในการสร้างที่คล้ายคลึงกัน


การสร้าง Security Policy (Zoning) จะมีขั้นตอนดังต่อไปนี้
1.Configuring interfaces (Zoning)
2.Creating Security Policy
- Address
- Service
- Schedules
- IPv4 Policy



1.Configuring interfaces (Zoning)

- แทบด้านซ้ายมือ เลือกที่หัวข้อ Network > Interfaces
- จะพบรายการของ Interface Port ทั้งหมดบนอุปกรณ์ Firewall


- ดำเนินการตั้งค่า Port ที่ต้องการ ดังต่อไปนี้ *ในที่นี้ขอยกตัวอย่างการตั้งค่าที่ Port3 กำหนดให้เป็น DMZ Zone*

- เลือกที่ port3 โดยการ ดับเบิ้ลคลิก
- จากนั้น จะแสดงหน้าต่าง ดังภาพ


Interface Name            : port3 (MAC Address of Interface)
Alias                              : กำหนดชื่อของ port ดังกล่าว
Link Status                   : Up (สถานะของ port)
Type                              : Physical Interface (ชนิดของ port)
Role                               : กำหนดลักษณะการใช้งาน port (LAN, WAN, DMZ, Undifined)
Addressing Mode         : กำหนดลักษณะการตั้งค่า IP Address ของ port ควรกำหนดเป็นแบบ Static
IP/Network Mask          : กำหนดหมายเลข IP Address / Subnet Mask ที่ port
Administrative Access : กำหนดการอนุญาตให้เข้าถึง port ด้วย Protocol ใดได้บ้าง

Best Practice (for Administrative Access)
1.หากกำหนดให้ port ดังกล่าวเป็น ADMIN ZONE ควรอนุญาตให้เข้าถึง port ด้วย Protocol HTTP, HTTPS, PING, SSG จุดประสงค์เพื่อบริหารจัดการอุปกรณ์ Firewall
2.หากกำหนดให้ port ดังกล่าวเป็น INTERNAL ZONE ไม่ควรอนุญาตให้เข้าถึง port ด้วย Protocol ใด ๆ (หรืออย่างน้อยที่สุด อนุญาตแค่ PING) จุดประสงค์เพื่อความปลอดภัยของระบบเครือข่าย
3.หากกำหนดให้ port ดังกล่าวเป็น DMZ ZONE ไม่ควรอนุญาตให้เข้าถึง port ด้วย Protocol ใด ๆ จุดประสงค์เพื่อความปลอดภัยของระบบเครือข่าย
4.หากกำหนดให้ port ดังกล่าวเป็น EXNETNAL ZONE (หรือ INTERNET) ไม่ควรอนุญาตให้เข้าถึง port ด้วย Protocol ใด ๆ จุดประสงค์เพื่อความปลอดภัยของระบบเครือข่าย

ปล. ทั้งนี้ การตั้งค่า Administrative Access ควรตั้งให้เหมาะสมกับการใช้งาน และเพื่อความปลอดภัยของระบเครือข่าย

DHCP                             : กำหนดให้ port ดังกล่าวเป็น DHCP Server สำหรับบริการ IP Address ให้กับ
  Client ภายใน ZONE ของตัวเอง
Admission Control       : การกำหนดให้ Client ภายใน ZONE ที่ต้องการจะติดต่อสื่อสารกับ ZONE อื่น
  ต้องยืนยันตัวตน (Authentication) ด้วย Captive Portal
Secondary IP Address : กำหนด Secondary IP Address ให้กับ port (ใช้สำหรับทำ Dynamic
  Routing เช่น OSPF, BGP)
Interface State              : การกำหนดสถานะของ port หลังการตั้งค่า ควรกำหนดเป็น Enable


ตัวอย่างการตั้งค่า port3 ให้เป็น port สำหรับ DMZ ZONE


- หลังจากดำเนินการตั้งค่าเสร็จเรียบร้อย กดปุ่ม OK หน้าต่างจะแสดงดังภาพ (แสดง IP Address ที่ port3)



2.Creating Security Policy
การสร้าง Security Policy ขึ้นมาใช้งาน จำต้องมี Object ต่าง ๆ เพื่อใช้ในการกำหนดค่าของการอนุญาต (Allow) หรือการไม่อนุญาต (Deny) เข้าใช้งานส่วนต่าง ๆ ในระบบเครือข่าย โดยใช้ Security Policy เป็นตัวกรอง และตรวจสอบ การสร้าง Security Policy สามารถทำได้ตามขั้นตอนดังต่อไปนี้

Address
- แทบด้านซ้ายมือ เลือกที่หัวข้อ Policy & Objects > Addresses
- จะพบรายการ Object Address (Default) ทั้งหมดบนอุปกรณ์ Firewall



- ดำเนินการสร้าง Object Address ใหม่ โดยกดที่ปุ่ม Create New และเลือกที่ Address ดังภาพ



- แสดงหน้าต่างสำหรับกำหนดค่า ดังภาพ


Name                           : กำหนดชื่อของ Object Address ที่ต้องการสร้าง
Color                           : กำหนดสี ใช้เป็นสัญลักษณ์เพื่อช่วยให้ง่ายต่อการบริหารจัดการ และจดจำ
Type                             : กำหนดรูปแบบของ Object Address (Subnet, IP Range, FQDN)
Subnet / IP Range      : กำหนด IP Address สำหรับ Object นี้
Interface                      : กำหนด Interface ที่อนุญาตให้นำ Object นี้ไปใช้งาน (จะสอดคล้องกับ
                                       Source Address และ Destination Address ในการสร้าง Security Policy)
Show in Address List : การอนุญาตให้แสดงในรายการ Address List
Comment                     : กำหนดรายละเอียดของ Object (ควรกำหนดให้สอดคล้องกับการใช้งาน Object)
ตัวอย่างการสร้าง Object Address เพื่อใช้งาน INTERNAL ZONE



ตัวอย่างการสร้าง Object Address เพื่อใช้งาน DMZ ZONE


- เมื่อสร้าง Object Address เสร็จเรียบร้อย จะมี Object แสดงใน Object List ดังภาพ


Services
*ในที่นี้ จะขอยกตัวอย่างการสร้าง Service TCP1000 เนื่องจากบนอุปกรณ์ Firewall จะมี Services พื้นฐานมาให้แล้ว*
- แทบด้านซ้ายมือ เลือกที่หัวข้อ Policy & Objects > Services
- ดำเนินการสร้าง Object Service ใหม่ โดยกดที่ปุ่ม Create New และเลือกที่ Service ดังภาพ


- แสดงหน้าต่างสำหรับกำหนดค่า ดังภาพ


Name                           : กำหนดชื่อของ Object Service ที่ต้องการสร้าง
Comment                    : กำหนดรายละเอียดของ Object (ควรกำหนดให้สอดคล้องกับการใช้งาน Object)
Color                           : กำหนดสี ใช้เป็นสัญลักษณ์เพื่อช่วยให้ง่ายต่อการบริหารจัดการ และจดจำ
Show in Service List  : การอนุญาตให้แสดงในรายการ Service List
Category                     : กำหนดประเภทของ Object Service (ในที่นี้ เป็นการสร้างขึ้นมาโดยใช้หมายเลข Port ที่กำหนดขึ้นเอง แนะนำให้กำหนดเป็น 
                                       Uncategorized)
Protocol Type             : กำหนด Protocol สำหรับ Service ที่ต้องการสร้าง
Address                      : กำหนด IP Address/FQDN ที่อนุญาตให้ใช้ Object Service ที่สร้าง (แนะนำให้ใช้ค่า Default นั่นคือ IP Range/0.0.0.0 เนื่องจากจะ
                                      สามารถนำไปใช้ได้กับทุก IP Address)
Destination Port        : กำหนดลักษณะของ Protocol ที่ใช้งาน และ หมายเลข Port Service ในช่อง Low และ High ลักษณะการกำหนดจะเป็น Range (หาก
                                      ต้องการใช้แค่ Port เดียว ให้กรอกทั้ง 2 ช่องเป็นเลข Port เดียวกัน)

การสร้าง Object Service เพื่อใช้งาน


หลังจากสร้าง Object Service เสร็จเรียบร้อย จะแสดง Service ที่สร้างขึ้น ดังภาพ



Schedules
- แทบด้านซ้ายมือ เลือกที่หัวข้อ Policy & Objects > Schedules
- จะพบรายการ Object Schedules (Default) บนอุปกรณ์ Firewall



- ดำเนินการสร้าง Object Schedules ใหม่ โดยกดที่ปุ่ม Create New และเลือกที่ Service ดังภาพ


- แสดงหน้าต่างสำหรับกำหนดค่า ดังภาพ


Type                      : กำหนดรูปแบบการตั้งค่า (แนะนำให้กำหนดเป็น Recurring)
Name                     : กำหนดชื่อ Schedules (ควรกำหนดให้สอดคล้องกับการใช้งาน)
Color                     : กำหนดสี ใช้เป็นสัญลักษณ์เพื่อช่วยให้ง่ายต่อการบริหารจัดการ และจดจำ
Days                      : เลือกวันที่ต้องการกำหนด (กรณีนี้จะเป็นการกำหนดวันใน Schedule ให้มีผลกับการอนุญาต/ไม่อนุญาต ตามวันที่กำหนด)
All Days                 : กำหนดระยะเวลา (หากดำเนินการเปิด จะหมายถึง มีผลทั้งวัน)

กรณีที่ดำเนินการปิด หัวข้อ All Day จะมีช่องสำหรับกำหนดเวลาแสดงขึ้นมา โดยที่
Start Time              : กำหนดเวลาเริ่มมีผล (Format Time : 24 hour)
Stop Time               : กำหนดเวลาเริ่มมีผล (Format Time : 24 hour)

ตัวอย่างการตั้งค่า Schedule เพื่อใช้งาน โดยกำหนดให้มีผลกับผู้ใช้งาน
ทุกวันจันทร์ วันศุกร์ ตั้งแต่เวลา 8:00 . – 17:00.


- หลังจากสร้าง Object Schedule เสร็จเรียบร้อย จะแสดง Schedule ที่สร้างขึ้น ดังภาพ


IPv4 Policy
*ในที่นี้ขอยกตัวอย่างการสร้าง Policy เพื่ออนุญาตให้อุปกรณ์ จาก INTERNAL ZONE ติดต่อสื่อสารกับอุปกรณ์ DMZ*
- แทบด้านซ้ายมือ เลือกที่หัวข้อ Policy & Objects > IPv4 Policy
- จะแสดงหน้าต่าง Policy List ซึ่งจะพบว่ามี Default Policy (Policy ID : 0) ที่เป็น Deny All อยู่ ดังภาพ


- ดำเนินการสร้าง Policy ใหม่ โดยกดที่ปุ่ม  Create New
- จากภาพ แสดงหน้าต่างการตั้งค่าสำหรับการสร้าง Policy โดยตั้งค่าดังต่อไปนี้


Name                        : กำหนดชื่อของ Policy (ควรกำหนดชื่อให้สอดคล้องกับลักษณะการใช้งาน Policy)
Incoming Interface : กำหนด Interface Port (ZONE) ที่มีอุปกรณ์ต้นทางอยู่ (ในที่นี้จะกำหนดเป็น port 2 INTERNAL)
Outgoing Interface : กำหนด Interface Port (ZONE) ที่มีอุปกรณ์ปลายทางอยู่ (ในที่นี้จะกำหนดเป็น port 3 DMZ)
Source                      : กำหนด IP Address จากต้นทาง (ในที่นี้จะใช้ Object Address ชื่อว่า NETWORK_192.168.2.0)
: กำหนด User Group ที่ใช้ในการ Access *Optional
Destination              : กำหนด IP Address ปลายทาง (ในที่นี้จะใช้ Object Address ชื่อว่า NETWORK_192.168.3.0)
Service                     : กำหนด Service ที่สามารถใช้งานผ่าน Policy นี้ได้ (ในที่นี้จะใช้ Object Address ชื่อว่า TCP1000)
Action                      : กำหนดการอนุญาต (ALLOW) หรือ ไม่อนุญาต (DENY) เมื่อเข้าเงื่อนไขของ Policy ที่กำหนดข้างต้น (ในที่นี้จะกำหนดเป็น ALLOW เพื่ออนุญาต)
NAT                          : จะกำหนดใช้งานเมื่อมีการออกสู่ INTERNET เท่านั้น (กรณีนี้จะทำการ ปิด)

Security Profile
ในหัวข้อนี้จะเป็นการใช้งาน Security Profile สำหรับตรวจจับ Packet ที่ผ่าน Policy นี้ เพื่อกรอง Packet ที่เป็นอันตราย หรือ Packet ที่ไม่อนุญาตให้ใช้งาน หากต้องการใช้งาน Security Profile ต่าง ๆ ให้ดำเนินการเปิดขึ้นมา ซึ่งการตั้งค่า Security Profile จะขออธิบายในภายหลัง

Logging Allow Traffic : กำหนดให้มีการเก็บ Log ชนิดใดบ้าง (แนะนำให้เป็นใช้งานการเก็บ Log แบบ All Session)
Comment                    : กำหนดรายละเอียดของ Policy (ควรกำหนดให้สอดคล้องกับการใช้งาน Policy)

ตัวอย่างการตั้งค่าการสร้าง Policy สำหรับอนุญาตให้อุปกรณ์ INTERNAL ZONE ติดต่อกับอุปกรณ์ DMZ ZONE ได้


- หลังจากสร้าง IPv4 Policy เสร็จเรียบร้อย จะแสดง Policy ที่สร้างขึ้น ดังภาพ



จาก Policy ดังกล่าว จะแปลเป็นความหมายได้ว่า

ที่ Policy ID : 1 จาก Interface port2(INTERNAL) ไปยัง Interface port3(DMZ)
ด้วยต้นทาง Source : Network Address 192.168.2.0/24 (Object : NETWORK_192.168.2.0)
และปลายทาง Destination : Network Address 192.168.3.0/24 (Object : NETWORK_192.168.3.0)
ในช่วงเวลา 8:00 . ถึง 17:00 . ในวันจันทร์ ถึง วันศุกร์ (Object : Work Time)
หากถูกต้องตามเงื่อนไข จะอนุญาต (ACCEPT) ให้ Packet สามารถติดต่อสื่อสารกันได้ตามเงื่อนไขข้างต้น

เพื่อความเข้าใจที่ดี สามารถศึกษาการทำงานของ Policy ได้จาก Diagram ด้านล่าง (อ้างอิงตามการสร้าง Policy ข้างต้น)


ขอบคุณมากครับผม
Network Societies

วันพฤหัสบดีที่ 1 สิงหาคม พ.ศ. 2562

Understanding VLAN Trunking (IEEE 802.1Q)

สวัสดีครับ

บทความนี้จะขออธิบายเกี่ยวกับ VLAN Trunking ตามมาตรฐาน IEEE802.1Q ว่ามีที่มาที่ไป และหลักแนวคิดในการทำ VLAN Trunking อย่างไร

ในระบบเครือข่าย (Networking) เรานำอุปกรณ์ Switch มาใช้ในการแบ่ง Broadcast Domain ออกไป 2 Broadcast Domain หรือมากกว่านั้น ตามความต้องการในการออกแบบระบบเครือข่าย ซึ่งในบางครั้งการใช้งานอุปกรณ์ Switch เพียงตัวเดียว อาจมีจำนวนของ Port บนอุปกรณ์ Switch ไม่เพียงพอต่อการใช้งาน (อีกความหมายหนึ่งก็คือ ต้องการขยายขนาดของ VLAN)


ซึ่งปัญหาข้างต้น สามารถแก้ปัญหาได้ด้วยการซื้ออุปกรณ์ Switch มาเพิ่ม และดำเนินการสร้าง VLAN หมายเลขเดิม เพิ่มขึ้นที่อุปกรณ์ Switch ตัวใหม่ จากนั้นดำเนินการต่อสายที่อุปกรณ์ Switch ดังภาพ


จากภาพ สามารถใช้วิธีนี้แก้ปัญหาได้ แต่เนื่องจากในมุมมองของการใช้งานที่เกิดขึ้นจิงนั้น บางครั้งอุปกรณ์ Switch ไม่ได้ถูกติดตั้งอยู่ในระยะใกล้เคียงกัน และจำนวนของ VLAN ที่ออกแบบเพื่อใช้งานมีจำนวนมาก จึงทำให้ไม่มีความเหมาะสมที่จะใช้วิธีการเชื่อมต่ออุปกรณ์ Switch ดังภาพข้างต้น

แล้วเราจะแก้ไขปัญหาที่เกิดขึ้นได้อย่างไร ?
จึงได้มีการคิดค้นคุณสมบัติการรวมทราฟฟิกของแต่ละ VLAN ผ่าน Port ที่กำหนดขึ้นเพียง Port เดียว (หรือหลาย Port ตามความเหมาะสม) เพื่อให้สามารถส่งข้อมูลจาก Switch หนึ่ง ไปยัง Switch หนึ่งได้ คุณสมบัติดังกล่าวนี้ เรียกว่า Trunking หรือ VLAN Trunking 

ซึ่งการที่จะใช้เทคนิคการทำ VLAN Trunking นั้น จะมีเรื่องของ Port ที่จะนำใช้ทำเทคนิคดังกล่าว นั่นคือ Trunk Port เข้ามาเกี่ยวข้องด้วย ดังนั้น หากต้องการศึกษาทำความเข้าใจ ระหว่าง Access Port และ Trunk Port ต่างกันอย่างไร สามารถศึกษาได้จากบทความด้านล่างนี้ครับ (กดที่ชื่อบทความได้เลยครับ)
Trunking หรือ VLAN Trunking คือ เทคนิคการรวมทราฟฟิกของแต่ละ VLAN และส่งออกผ่านพอร์ตใดพอร์ตหนึ่ง ไปยังอุปกรณ์ Switch อีกตัวหนึ่ง กล่าวคือ เป็นการทำท่อขึ้นมาท่อหนึ่ง สำหรับอนุญาตให้ทราฟฟิกของ VLAN ระหว่างอุปกรณ์ Switch ตั้งแต่ 2 ตัวขึ้นไปที่ต้องการเชื่อมเชื่อมต่อเข้าหากัน มีจุดประสงค์หลัก เพื่อให้อุปกรณ์ที่อยู่ภายในหมายเลข VLAN ใดๆ ของอุปกรณ์ Switch ฝั่งหนึ่ง สามารถติดต่อสื่อสารกับอุปกรณ์ที่อยู่ภายในหมายเลข VLAN เดียวกัน ของอุปกรณ์ Switch อีกฝั่งหนึ่งได้ กล่าวอีกอย่างหนึ่ง ก็คือ ทราฟฟิกที่วิ่งภายใน Trunking จะเป็นทราฟฟิกของ VLAN เดียวกันของ Switch ทั้ง 2 ฝั่ง

การทำ Trunking นั้น ต้องอาศัย Port บนอุปกรณ์ Switch เพื่อกำหนดโหมดการทำงานของ Port ดังกล่าวเป็น Trunk Mode และใช้กำหนดเป็น Port สำหรับเชื่อมต่อระหว่างอุปกรณ์ Switch เพื่ออนุญาตให้ทราฟฟิกของแต่ละ VLAN วิ่งผ่าน Trunking กล่าวอีกอย่างหนึ่งก็คือ การอนุญาตให้ทราฟฟิกของแต่ละ VLAN สามารถวิ่งเข้ามายัง Trunking ผ่าน Trunk Port ได้ เรียกว่า การทำ VLAN Trunking


การที่อุปกรณ์ต่าง ๆ สามารถติดต่อสื่อสารกันข้ามอุปกรณ์ Switch ได้ โดยการทำ VLAN Trunking นั้น จะมีกระบวนการทำงานอยู่อย่างหนึ่งของ Trunk Port เพื่อช่วยให้อุปกรณ์ Switch ทั้งต้นทางและปลายทาง สามารถแยกแยะออกได้ว่า Frame ข้อมูลที่วิ่งผ่าน Trunk Port ของตัวเอง เป็น Frame ข้อมูลของ VLAN ใด เนื่องจากอุปกรณ์ Switch มีความจำเป็นจะต้องส่ง Frame ข้อมูลนั้นไปยัง VLAN ที่อยู่ในตัวของ Switch เองได้ถูกต้อง จึงจะทำให้อุปกรณ์ที่อยู่ภายใน VLAN ทั้ง 2 ฝั่งสามารถติดต่อสื่อสารกันได้ กระบวนการดังกล่าวนี้คือกระบวนการเพิ่ม Field ข้อมูล VLAN ใน Frame ข้อมูล (ที่ Trunk Port ของอุปกรณ์ Switch ต้นทาง) และ กระบวนการถอด Field ข้อมูล VLAN ใน Frame ข้อมูล (ที่ Trunk Port ของอุปกรณ์ Switch ปลายทาง)

กระบวนการเพิ่มและถอด Field ข้อมูล VLAN ภายใน Frame ข้อมูล สามารถอธิบายได้ดังต่อไปนี้

โดยปกติแล้ว Frame ข้อมูลที่อยู่ใน Access Port จะเป็น Frame ข้อมูลที่เรียกว่า “Untagged Ethernet Frame” โดยมีโครงสร้างของ Ethernet Frame ดังภาพ


กระบวนการแทรก Field ข้อมูลของ VLAN เข้าไปยัง Ethernet Frame ซึ่ง Field ดังกล่าวเรียกว่า tag เป็น Field ขนาด 12bits จะถูกกระทำโดย Trunk Port ที่อุปกรณ์ Switch ต้นทาง มีส่วนประกอบของ Field Tag ดังภาพ



โดยใน Field Tag จะมีรายละเอียดของแต่ละ Field ภายใน Field Tag ดังต่อไปนี้


เมื่ออุปกรณ์ Switch ต้นทางดำเนินการแทรก Field Tag เสร็จเรียบร้อย จะเรียก Ethernet Frame ดังกล่าวว่า "Tagged Ethernet Frame" จากนั้นจะดำเนินการส่ง Tagged Ethernet Frame ออกจาก Trunk Port ไปยังอุปกรณ์ Switch ปลายทาง และในทางตรงกันข้าม เมื่อ Tagged Ethernet Frame ถูกส่งมาถึงอุปกรณ์ Switch ปลายทาง Trunk Port จะทำการถอด Field ข้อมูลของ VLAN ออกจาก Tagged Ethernet Frame เพื่ออ่านค่า VLAN ID ภายใน Field Tag และส่ง Ethernet Frame ไปยัง VLAN ที่อยู่ภายใน Switch ด้วยค่าที่อ่านได้จาก VLAN ID



จบแล้วครับ สำหรับบทความนี้ หากเป็นประโยชน์กับท่าน ผมรบกวนช่วยแชร์ความรู้นี้เผยแพร่ออกไปให้ด้วยนะครับ หากมีข้อสงสัย ผมอธิบายตรงไหนไม่เคลียร์ หรืออธิบายตรงไหนผิดพลาดไป ขอน้อมรับคำตำหนิและแก้ไขบทความให้มีคุณภาพยิ่งขึ้นไปครับ


ขอบคุณมากครับผม
Network Societies

วันอาทิตย์ที่ 21 กรกฎาคม พ.ศ. 2562

Understanding between Access Port and Trunk Port

สวัสดีครับ
บทความนี้จะอธิบายเกี่ยวกับ Access Port และ Trunk Port บนอุปกรณ์ Switch เพื่อสร้างความเข้าใจเกี่ยวกับหลักการทำงานของพอร์ตแต่ละประเภทกันครับ



Access Port
Access Port คือ พอร์ตที่ใช้สำหรับส่งผ่าน Frame ข้อมูลระหว่างอุปกรณ์ Switch กับอุปกรณ์ปลายทาง ซึ่งพอร์ตนั้น ๆ จะถูกตั้งค่าบนอุปกรณ์ Switch ให้เป็น Mode Access เพื่อรองรับการใช้งานการเชื่อมต่อกับอุปกรณ์ต่าง ๆ และแต่ละพอร์ตจะต้องเป็นสมาชิกของเนทเวิร์คใด ๆ เพียงเนทเวิร์คเดียว กล่าวคือ ทราฟฟิกที่วิ่งเข้า/ออกพอร์ตประเภท Access Port นี้ จะเป็นทราฟฟิกของ VLAN เพียง VLAN เดียว และจะส่งผลการเป็นสมาชิกของ VLAN ไปสู่อุปกรณ์เชื่อมต่ออยู่กับพอร์ตประเภทนี้ด้วย


จากรูปข้างต้น จะสามารถตีความเป็นตารางได้ดังนี้


หากท่านใดยังไม่เข้าใจเรื่องของ VLAN สามารถศึกษาได้จาก Link ด้านล่างนี้ได้เลยครับ (กดที่ชื่อหัวข้อด้านล่าง)




ตัวอย่างการใช้งานพอร์ตประเภท Access Port
- พอร์ตที่เชื่อมต่อกับเครื่องคอมพิวเตอร์/ปริ้นเตอร์



- พอร์ตที่เชื่อมต่อโดยตรงกับเครื่องเซิร์ฟเวอร์



- พอร์ตที่เชื่อมต่อกับ Router (เฉพาะกรณีที่ Router ไม่ได้ทำหน้าที่เพื่อ Route ทราฟฟิกระหว่าง VLAN )



Trunk Port
Trunk Port คือ พอร์ตพิเศษที่สามารถเป็นสมาชิกของ VLAN ได้มากกว่าหนึ่ง VLAN กล่าวอีกอย่างหนึ่งก็คือ พอร์ตประเภท Trunk Port สามารถอนุญาตให้ทราฟฟิก VLAN มากกว่าหนึ่ง VLAN วิ่งผ่านพอร์ตประเภทนี้ได้ จุดประสงค์ของการมีพอร์ตประเภท Trunk Port นี้ เพื่อรองรับความต้องการที่จะขยาย VLAN ออกไปยังอุปกรณ์ Switch อีกตัว (หรือหลาย ๆ ตัว) ด้วยการทำกระบวนการเพิ่ม Field ข้อมูล VLAN เข้าไปยัง Frame ข้อมูล (Encapsulate) และกระบวนการถอด Field ข้อมูล VLAN ออกจาก Frame ข้อมูล (De-Encapdulate) ทั้ง 2 กระบวนการดังกล่าวนี้ เรียกว่าการบวนการทำ Encapsulation


จากรูปจะเห็นได้ว่า การกำหนดพอร์ตที่จะใช้เป็น Trunk Port ของอุปกรณ์ Switch ทั้ง 2 ตัว ไม่จำเป็นจะต้องเป็นพอร์ตหมายเลขเดียวกัน ก็สามารถที่จะใช้งานได้ เพียงแค่กำหนด Mode ให้ตรงกันทั้ง 2 ฝั่งก็เพียงพอ (การกำหนดพอร์ตที่จะใช้เป็น Trunk Port ควรใช้พอร์ตที่มี Speed ของพอร์ตเท่ากัน) ผลลัพธ์ดังกล่าวนี้ เป็นผลของกระบวนการทำ Encapsulation ของพอร์ตประเภท Trunk Port ทำให้มีความยืดหยุ่นในการออกแบบระบบเครือข่าย ด้วยอุปกรณ์ Switch

ตัวอย่างการใช้งานพอร์ตประเภท Trunk Port
- พอร์ตที่ต่อจาก Switch หนึ่ง ไปยังอีก Switch หนึ่ง จุดประสงค์เพื่อต้องการขยาย VLAN ออกไปยัง Switch ตัวอื่น ๆ



- พอร์ตที่มีการเชื่อมต่อไปยังอุปกรณ์ Switch ตัวอื่น เช่น พอร์ตที่ทำหน้าที่เป็น Uplink Port เพื่อเชื่อมต่ออุปกรณ์ Switch ปลายทางในแต่ละชั้น ไปยังอุปกรณ์ Switch ตัวใหญ่ที่เป็นศูนย์กลาง (Core Switch)


- พอร์ตที่มีการเชื่อมต่อไปยังอุปกรณ์ Router เพื่อใช้เป็นเส้นทางในการ Route ทราฟฟิกของแต่ละ VLAN ทั้งนี้ทราฟฟิกที่ผ่านพอร์ตนั้น ๆ ไปยังอุปกรณ์ Router มีโอกาศจะเป็นทราฟฟิกของ VLAN ได้มากกว่าหนึ่ง VLAN



จบแล้วครับกับบทความเรื่อง Access Port และ Trunk Port ต่างกันอย่างไร และใช้ประโยชน์อะไรได้บ้าง
หวังว่าบทความนี้จะเป็นประโยชน์กับผู้ที่เข้ามาอ่านนะครับ อย่างไรก็ตาม หากท่านเห็นว่ามีประโยชน์ ผมขอฝากแชร์ความรู้ออกไปในสื่อ Social Media ด้วยครับ


ขอบคุณมากครับผม
Network Societies