สวัสดีครับ
บทความนี้ จะมาเขียนอธิบายเกี่ยวกับวิธีการสร้าง VLAN ใน Cisco Device ครับ
บทความนี้ จะมาเขียนอธิบายเกี่ยวกับวิธีการสร้าง VLAN ใน Cisco Device ครับ
ก่อนอื่น หากท่านผู้อ่านท่านใดยังไม่เข้าใจหลักการ และแนวคิดของการสร้าง VLAN (Virtual Local Area Network) ขอแนะนำให้ศึกษาได้จากบทความด้านล่างนี้ครับ
#### Understanding Basic of VLANs (Virtual Local Area Networks) ####
จากนั้นทดสอบว่า ภายใน Broadcast Domain เดียวกัน จะต้องสามารถติดต่อสื่อสารกันได้
จากรูป เป็น Diagram ที่เราจะใช้อธิบายในบทความเกี่ยวกับ VLAN กันครับ โดยกำหนดให้
PC1 มี IP Address : 192.168.1.11 Subnet Mask : 255.255.255.0
PC2 มี IP Address : 192.168.1.12 Subnet Mask : 255.255.255.0
PC3 มี IP Address : 192.168.1.13 Subnet Mask : 255.255.255.0
PC4 มี IP Address : 192.168.1.14 Subnet Mask : 255.255.255.0
และ SWA ยังไม่ได้ดำเนินการ Configure ใด ๆ ซึ่งโดยปกติอุปกรณ์ Switch ของ Brand ใด ๆ ก็ตาม Interface ทั้งหมดของอุปกรณ์ Switch จะเป็นสมาชิกของ VLAN 1 by Default นั่นหมายความว่า จาก Diagram ข้างต้น PC ทั้งหมดที่ต่ออยู่บนอุปกรณ์ Switch เดียวกัน จะอยู่ใน Broadcast Domain เดียวกัน
Trip : การออกแบบ Network ให้มีความปลอดภัย ไม่ควรให้ Interface ใด ๆ เป็นสมาชิกของ VLAN 1 เนื่องจากเป็นค่า Default ซึ่งมีความเสี่ยงที่จะถูกโจมตีได้ง่าย
ทดสอบสมมติฐานได้ด้วยการใช้คำสั่ง Ping จาก PC1 ไปหา PC2, PC3 และ PC4
## Ping PC1 to PC2 ##
C:\>ping 192.168.1.12
Pinging 192.168.1.12 with 32 bytes of data:
Reply from 192.168.1.12: bytes=32 time<1ms TTL=128
Reply from 192.168.1.12: bytes=32 time=1ms TTL=128
Reply from 192.168.1.12: bytes=32 time=2ms TTL=128
Reply from 192.168.1.12: bytes=32 time=3ms TTL=128
Ping statistics for 192.168.1.12:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 3ms, Average = 1ms
## Ping PC1 to PC3 ##
C:\>ping 192.168.1.13
Pinging 192.168.1.13 with 32 bytes of data:
Reply from 192.168.1.13: bytes=32 time=1ms TTL=128
Reply from 192.168.1.13: bytes=32 time<1ms TTL=128
Reply from 192.168.1.13: bytes=32 time<1ms TTL=128
Reply from 192.168.1.13: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.1.13:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
## Ping PC1 to PC4 ##
C:\>ping 192.168.1.14
Pinging 192.168.1.14 with 32 bytes of data:
Reply from 192.168.1.14: bytes=32 time=1ms TTL=128
Reply from 192.168.1.14: bytes=32 time<1ms TTL=128
Reply from 192.168.1.14: bytes=32 time<1ms TTL=128
Reply from 192.168.1.14: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.1.14:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
ผลลัพธ์ที่ได้คือ PC1 สามารถ Ping ไปยัง PC อื่น ๆ ได้ทั้งหมด และในทางกลับกัน PC ใด ๆ จะต้องสามารถ Ping ไปยัง PC ใด ๆ ได้ด้วยเช่นกัน (ในที่นี้ขอละเว้นในการเขียน Output ของการใช้ PC ใด ๆ Ping ไปยัง PC ใด ๆ)
อีกวิธีในการตรวจสอบสมมติฐาน และใช้ในการแสดงค่า Configure ของ VLAN ว่า Interface ใด เป็นสมาชิกของ VLAN ใด นั่นคือการใช้คำสั่ง show vlan บนอุปกรณ์ Switch
SWA#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gig1/0/1, Gig1/0/2, Gig1/0/3, Gig1/0/4
Gig1/0/5, Gig1/0/6, Gig1/0/7, Gig1/0/8
Gig1/0/9, Gig1/0/10, Gig1/0/11, Gig1/0/12
Gig1/0/13, Gig1/0/14, Gig1/0/15, Gig1/0/16
Gig1/0/17, Gig1/0/18, Gig1/0/19, Gig1/0/20
Gig1/0/21, Gig1/0/22, Gig1/0/23, Gig1/0/24
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
############################## OUTPUT OMITTED ##############################
จาก Output ของคำสั่ง show vlan ข้างต้น จะพบว่าบนอุปกรณ์ Switch จะมีเพียง VLAN หมายเลข 1 (VID 1) เพียง VLAN เดียวเท่านั้น และมีรายละเอียดบอกว่า Interface ใดบ้างที่เป็นสมาชิกของ VLAN 1 และสถานะของ Interface ต่าง ๆ ในปัจจุบัน
Trip : VLAN 1002-1005 เป็น Reserved VLAN จะมีเฉพาะใน Cisco Device ที่เป็น IOS-Based เท่านั้น และไม่สามารถดำเนินการลบ VLAN ดังกล่าวออกได้
การสร้าง VLAN และการเข้าเป็นสมาชิกของ VLAN
การ Configure ให้แต่ละ Interface ของ Switch เข้าเป็นสมาชิกของ VLAN มีวิธีการทำอยู่ 2 วิธี ได้แก่
1.Static VLAN
2.Dynamic VLAN
แต่ในเรื่องของ Dynamic VLAN นั้นผมจะไม่ได้อธิบายวิธีการ Configure เนื่องจากไม่ค่อยพบเห็นในการใช้งานจริงในปัจจุบัน เนื่องจากการ Configure จำเป็นจะต้องทราบ MAC Address ของอุปกรณ์ปลายทางที่เชื่อมต่อกับ Interface ของ Switch แล้วนำ MAC Address ไปสร้างข้อมูลการ Mapping เข้ากับ VLAN บน Database Server ซึ่งจาก Concept ดังกล่าว จะความความว่า อุปกรณ์จะเสียบที่ Interface ใด ๆ บน Switch ก็ได้ เพราะ Switch จะนำ MAC Address ที่ได้จากการ Access เข้ามายัง Interface ไปเทียบกับ Database ว่าควรเป็นสมาชิกของ VLAN ใด
Static VLAN
กำหนดให้
VLAN100 มีสมาชิกของ VLAN เป็น PC1 และ PC2
VLAN200 มีสมาชิกของ VLAN เป็น PC3 และ PC4
การ Configure Static VLAN ขั้นแรกจะต้องสร้าง VLAN ขึ้นมาก่อน โดยใช้คำสั่ง vlan (VLAN ID)
SWA(config)##vlan 100
SWA(config-vlan)#name ADMIN <<< คำสั่ง name คือการกำหนดชื่อของ vlan
SWA(config-vlan)#exit
SWA(config)#vlan 200
SWA(config-vlan)#name USER <<< คำสั่ง name คือการกำหนดชื่อของ vlan
SWA(config-vlan)#exit
ตรวจสอบผลลัพธ์ของการสร้าง VLAN โดยใช้คำสั่ง show vlan
SWA#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gig1/0/1, Gig1/0/2, Gig1/0/3, Gig1/0/4
Gig1/0/5, Gig1/0/6, Gig1/0/7, Gig1/0/8
Gig1/0/9, Gig1/0/10, Gig1/0/11, Gig1/0/12
Gig1/0/13, Gig1/0/14, Gig1/0/15, Gig1/0/16
Gig1/0/17, Gig1/0/18, Gig1/0/19, Gig1/0/20
Gig1/0/21, Gig1/0/22, Gig1/0/23, Gig1/0/24
100 ADMIN active
200 USER active
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
############################## OUTPUT OMITTED ##############################
จาก Output ของการใช้คำสั่ง show vlan จะพบว่ามี VLAN100 และ VLAN200 ขึ้นมาจากการสร้าง
ขั้นตอนการเข้าเป็นสมาชิกของ VLAN จะสามารถทำได้ตามขั้นตอน ดังนี้ครับ
การเลือก Interface
การเลือกใด ๆ จะสามารถทำได้ 2 วิธี
1.เลือกทีละ Interface โดยใช้คำสั่ง Interface (Interface-Type) (Interface Number)
SWA(config)#
SWA(config)#interface gigabitEthernet 1/0/1
SWA(config-if)#
2.เลือกทีละหลาย ๆ Interface พร้อมกัน โดยใช้คำสั่ง interface range (Interface-Type) (Interface Number)
SWA(config)#
SWA(config)#interface range gigabitEthernet 1/0/1 -2
SWA(config-if-range)#
SWA(config)#
SWA(config)#interface range gigabitEthernet 1/0/3 -4
SWA(config-if-range)#
การกำหนด Mode ของ Interface (ในที่นี้ขออธิบายในส่วนของการเลือกหลาย Interface พร้อมกัน)
กำหนด Mode ของ Interface โดยใช้คำสั่ง switchport mode (access / trunk)
SWA(config)#interface range gigabitEthernet 1/0/1 -2
SWA(config-if-range)#switchport mode access
SWA(config)#
SWA(config)#interface range gigabitEthernet 1/0/3 -4
SWA(config-if-range)#switchport mode access
การย้าย Interface ไปเป็นสมาชิกของ VLAN ที่ต้องการ (ในที่นี้ขออธิบายในส่วนของการเลือกหลาย Interface พร้อมกัน)
ย้าย Interface โดยใช้คำสั่ง switchport access vlan (VLAN ID)
ที่ VLAN100
SWA(config-if-range)#switchport access vlan 100
SWA(config-if-range)#description VLAN ADMIN <<< กำหนดคำอธิบายของ Interface ด้วยคำสั่ง description
ที่ VLAN200
SWA(config-if-range)#switchport access vlan 200
SWA(config-if-range)#description VLAN USER <<< กำหนดคำอธิบายของ Interface ด้วยคำสั่ง description
ขั้นตอนการตรวจสอบผลการสร้าง VLAN และการเข้าเป็นสมาชิกของ VLAN ใด ๆ
ตรวจสอบผลลัพธ์โดยใช้คำสั่ง show vlan
SWA#show vlan
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Gig1/0/5, Gig1/0/6, Gig1/0/7, Gig1/0/8
Gig1/0/9, Gig1/0/10, Gig1/0/11, Gig1/0/12
Gig1/0/13, Gig1/0/14, Gig1/0/15, Gig1/0/16
Gig1/0/17, Gig1/0/18, Gig1/0/19, Gig1/0/20
Gig1/0/21, Gig1/0/22, Gig1/0/23, Gig1/0/24
100 ADMIN active Gig1/0/1, Gig1/0/2
200 USER active Gig1/0/3, Gig1/0/4
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
############################## OUTPUT OMITTED ##############################
จาก Output หลังจากใช้คำสั่ง display vlan แล้วจะพบว่า
Interface GigabitEthernet0/0/1 และ Interface GigabitEthernet0/0/2 เป็นสมาชิกของ VLAN100 และ
Interface GigabitEthernet0/0/3 และ Interface GigabitEthernet0/0/4 เป็นสมาชิกของ VLAN200 เรียบร้อยแล้ว
จากการที่เราดำเนินการย้าย Interface เข้าไปเป็นสมาชิกของ VLAN ต่าง ๆ ตามที่ต้องการแล้ว นั่นหมายความว่า PC ที่อยู่ใน VLAN100 จะไม่สามารถติดต่อสื่อสารไปยัง PC ใน VLAN200 ได้อีกต่อไปแล้ว เนื่องจากการกระทำข้างต้น เป็นการแบ่ง Broadcast Domain ออกเป็น 2 Broadcast Domain (VLAN100 และ VLAN200) เรียบร้อยแล้ว
ทดสอบสมมติฐานข้างต้นว่า PC ใน VLAN100 จะไม่สามารถติดต่อสื่อสารกับ PC ใน VLAN 200 ได้
โดยการใช้ PC1 ใน VLAN100 ดำเนินการ Ping ไปยัง PC3 และ PC4 ใน VLAN200
### PC1 ping to PC3 (192.168.1.13) ###
C:\>ping 192.168.1.13
Pinging 192.168.1.13 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.13:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
### PC1 ping to PC4 (192.168.1.14) ###
C:\>ping 192.168.1.14
Pinging 192.168.1.14 with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Ping statistics for 192.168.1.14:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
Output ที่ได้จากการ Ping ข้างต้น จะพบว่า Packet loss 100.00% ดังแทบสีเหลือง
จากนั้นทดสอบว่า ภายใน Broadcast Domain เดียวกัน จะต้องสามารถติดต่อสื่อสารกันได้
โดยการใช้ PC1 ดำเนินการ Ping ไปยัง PC2 หรือก็คือการ Ping ไปยัง PC ภายใน VLAN เดียวกันนั่นเอง
### PC1 ping to PC2 (192.168.1.12) ###
C:\>ping 192.168.1.12
Pinging 192.168.1.12 with 32 bytes of data:
Reply from 192.168.1.12: bytes=32 time=1ms TTL=128
Reply from 192.168.1.12: bytes=32 time<1ms TTL=128
Reply from 192.168.1.12: bytes=32 time=1ms TTL=128
Reply from 192.168.1.12: bytes=32 time<1ms TTL=128
Ping statistics for 192.168.1.12:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 1ms, Average = 0ms
Output ที่ได้จากการ Ping ข้างต้น จะพบว่า Packet loss มีค่าเป็น 0.00% ดังแทบสีเหลือง
เป็นอันว่าการสร้าง VLAN และการย้าย Interface ไปเป็นสมาชิกของ VLAN ที่เราต้องการนั้น เสร็จสมบูรณ์
จบแล้วครับ สำหรับการสร้าง VLAN บนอุปกรณ์ Switch Cisco และว่าว่าบทความจีมีประโยชน์กับทุกท่านที่ได้เข้ามาอ่านนะครับ
ขอบคุณมากครับผม
Network Societies
ไม่มีความคิดเห็น:
แสดงความคิดเห็น
แสดงความคิดเห็น