1. โดยการใช้คำสั่งดังนี้
# vlan database
# no vlan (vlan ที่จะลบ)
วันเสาร์ที่ 13 สิงหาคม พ.ศ. 2559
คำสั่ง config cisco 2960
คำสั่ง config cisco 2960
2)open hyper terminal from All Programs> Accessories> Communications>hyper terminal.
3)Enter the area code
4)click on restore default and click ok
5) Now u'll see the switch # prompt.
6)now do the below step by step.
By default all port are in Vlan 1, but we assign again all port in vlan 1 fore fully for your knowledge only.
Switch#conf t
Switch(config)#int Vlan 1
Switch(config-if)#ip add 192.168.1.250 255.255.255.0
Switch(config-if)no shut
Switch(config-if)exit
Switch(config)#int range fa0/2 - 24
Switch(config-if)#switch port mode access
Switch(config-if)#switch port access vlan 1
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#int fa0/1
Switch(config-if)#switch port mode trunk
Switch(config-if)#switch port trunk encapsulation dot1q
Switch(config-if)#no shut
Switch(config-if)#exit
Switch(config)#line vty 0 4
Switch(config-line)#passwo
Switch(config-line)#login
Switch(config-line)#exit
Switch(config)#enable secret cisco
Switch(config)#ip default-gateway 192.168.1.1
Switch(config)#exit
Switch#wr
Description:
I have an internet connection in your enviornment, then connect the internet router to inteface Fa0/1 port of switch.
I have assign ip default-gateway 192.168.1.1 to switch,this is the ip of your router.
change the IP address according to your IP address scheme.
Go step by step.It will 100% work .If u need further help u can ask me.
Regards
Pawan Harle
------------------------------------------------------------
example configs
Switch:
enable
conf t
vlan 2
name VLAN2
vlan 3
name VLAN3
int vlan 2
ip add 2.2.2.2 255.255.255.0
int vlan 3
ip add 3.3.3.3 255.255.255.0
int fa0/1
description CONNECTED TO HOST IN VLAN 2
switchport mode access
switchport access vlan 2
int fa0/2
description CONNECTED TO HOST IN VLAN 3
switchport mode access
switchport access vlan 3
no shut
int fa0/10
description CONNECTED TO ROUTER
switchport mode trunk
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 1,2,3
no shut
Router:
enable
conf t
int fa0/0
description CONNECTED TO 2960 SWITCH
no shut
int fa0/0.1
encapsulation dot1q 2
ip add 2.2.2.1 255.255.255.0
int fa0/0.2
encapsulation dot1q 3
ip add 3.3.3.1 255.255.255.0
------------------------------------------
การลบหมายเลข VLAN
การลบหมายเลข VLAN และการเคลียร์หมายเลข VLAN ทั้งหมด ออกจากดาต้าเบสของ VLAN
เมื่อสร้างหมายเลข VLAN ไปแล้ว หากต้องการลบจะทำอย่างไร ? วิธีสำหรับการยกเลิกหมายเลข VLAN ออกไปจาก VLAN Database ทีละหมายเลขก็คือการเข้าสู่ดาต้าเบสของ VLAN แล้วพิมพ์ no vlan <หมายเลข VLAN ที่ต้องการลบ> อย่างเช่น
Switch# vlan database <-- เป็นคำสั่งที่ใช้เข้าสู่ฐานข้อมูลหรือดาต้าเบสของ VLAN
Switch(vlan)# no vlan <หมายเลข VLAN ที่ต้องการลบ>
หรืออีกวิธีหนึ่งคือใช้คำสั่ง no vlan <หมายเลข VLAN ที่ต้องการลบ> จากโกลบอลคอนฟิกูเรชันโหมดของสวิตซ์
Switch(config) #no vlan <หมายเลข VLAN>
ถ้าต้องการลบ 5 VLAN ออกจาก 20 VLAN ที่มีอยู่ในปัจจุบัน เราคงต้องใช้วิธีข้างต้นนี้คือไล่ no vlan ออกไปเรื่อยๆ แต่ถ้าต้องการลบหมายเลข VLAN ทั้งหมดที่มีอยู่เป็นจำนวนพอสมควรออกไปจากดาต้าเบส VLAN ทีเดียวโดยไม่ต้องการไล่ลบทีละ VLAN วิธีการมีดังนี้
1. ใช้คำสั่ง show flash : เพื่อสำรวจดูว่ามีไฟล์ vlan.dat อยู่หรือไม่เป็นไฟล์สำคัญที่เกี่ยวข้องกับดาต้าเบสของ VLAN ดังแสดงในตัวอย่างข้างล่าง
Switch#sh flash:
Directory of flash:/
2 - rwx 109 Mar 01 1993 00:01:45 +00:00 info
3 - rwx 270 Jan 01 1970 00:01:36 +00:00 env_vars
4 - rwx 556 Mar 01 1993 00:19:45 +00:00 vlan.dat
7 - rwx 3081999 Mar 01 1993 00:03:22 +00:00 c2950 – i6q412 –mz.121 –22.EAI.bin
(ตัดเอาต์พุตด้านล่างบางส่วน)
2. ใช้คำสั่ง delete flash:vlan.dat เพื่อลบไฟล์ vlan.dat ออกไป
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#reload
Proceed with reload? [confirm]
00:47:28: %SYS – 5 – RELOAD: Reload requested
3. ปิด / เปิดสวิตซ์ใหม่หรือใช้คำสั่ง reload เพื่อรีเซตสวิตซ์
4. ลอง show vlan ดูอีกครั้ง จะพบว่าหมายเลข VLAN ที่เคยมีอยู่แต่เดิมได้ถูกลบออกไปเรียบร้อยแล้วเหลือแต่ VLAN ที่เป็นค่าดีฟอลต์
สำหรับสวิตซ์รุ่นที่เป็นแบบ Chassis – based ใหญ่ๆ คือมีช่องให้เสียบโมดูลได้นั้น ไฟล์ vlan.dat อาจไม่ได้ถูกเก็บไว้ใน flash: โดยตรง ให้ศึกษาจากคู่มือสวิตซ์รุ่นนั้นๆ อีกทีว่าไฟล์ vlan.dat นั้นถูกเก็บไว้ที่ตำแหน่งใดในระบบไฟล์
หลังจากลบไฟล์ vlan.dat ทิ้งไปและได้รีโหลดสวิตซ์ใหม่แล้ว ลองใช้คำสั่ง show vtp status ดู คุณควรพบหน้าตาผลลัพธ์คล้ายๆ รูปด้านล่างนี้
90F5_19#sh vtp status
VTP Version : 2
Configuration : 0 <--สังเกตว่าค่าของ “configuration reversion” จะถูกรีเซตให้กลายเป็นศูนย์
Maximum VLANs supported lacally : 250
Number of existing VLANs : 5
VTP Operrating Mode : Server <--โดยดีฟอลต์โหมดของ VTP จะเป็นโหมด VTP Server
VTP Domain Name : <-- ชื่อของ VTP Domain เป็น “NULL” คือว่างเปล่าไม่มีค่าใดๆ
(ตัดเอาต์พุตด้านล่างออก)
และเมื่อใช้คำสั่ง show vlan ดู คุณควรเห็นว่ามีเฉพาะ VLAN หมายเลข 1 และหมายเลขที่เป็นค่าดีฟอลต์เดิมคือหมายเลข 1002 – 1005 เท่านั้น ดังแสดงด้านล่าง
90F5_19#sh vlan
VLAN Name Status Port
---------- ---------------------------- ------------------------ ------------------------
1 default active Gi0/1, Gi0/2
1002 fddi – default act / unsup
1003 token – ring – default act / unsup
1004 fddinet – default act / unsup
1005 trnet – default act / unsup
(ตัดเอาต์พุตส่วนล่างออก)
เมื่อสร้างหมายเลข VLAN ไปแล้ว หากต้องการลบจะทำอย่างไร ? วิธีสำหรับการยกเลิกหมายเลข VLAN ออกไปจาก VLAN Database ทีละหมายเลขก็คือการเข้าสู่ดาต้าเบสของ VLAN แล้วพิมพ์ no vlan <หมายเลข VLAN ที่ต้องการลบ> อย่างเช่น
Switch# vlan database <-- เป็นคำสั่งที่ใช้เข้าสู่ฐานข้อมูลหรือดาต้าเบสของ VLAN
Switch(vlan)# no vlan <หมายเลข VLAN ที่ต้องการลบ>
หรืออีกวิธีหนึ่งคือใช้คำสั่ง no vlan <หมายเลข VLAN ที่ต้องการลบ> จากโกลบอลคอนฟิกูเรชันโหมดของสวิตซ์
Switch(config) #no vlan <หมายเลข VLAN>
ถ้าต้องการลบ 5 VLAN ออกจาก 20 VLAN ที่มีอยู่ในปัจจุบัน เราคงต้องใช้วิธีข้างต้นนี้คือไล่ no vlan ออกไปเรื่อยๆ แต่ถ้าต้องการลบหมายเลข VLAN ทั้งหมดที่มีอยู่เป็นจำนวนพอสมควรออกไปจากดาต้าเบส VLAN ทีเดียวโดยไม่ต้องการไล่ลบทีละ VLAN วิธีการมีดังนี้
1. ใช้คำสั่ง show flash : เพื่อสำรวจดูว่ามีไฟล์ vlan.dat อยู่หรือไม่เป็นไฟล์สำคัญที่เกี่ยวข้องกับดาต้าเบสของ VLAN ดังแสดงในตัวอย่างข้างล่าง
Switch#sh flash:
Directory of flash:/
2 - rwx 109 Mar 01 1993 00:01:45 +00:00 info
3 - rwx 270 Jan 01 1970 00:01:36 +00:00 env_vars
4 - rwx 556 Mar 01 1993 00:19:45 +00:00 vlan.dat
7 - rwx 3081999 Mar 01 1993 00:03:22 +00:00 c2950 – i6q412 –mz.121 –22.EAI.bin
(ตัดเอาต์พุตด้านล่างบางส่วน)
2. ใช้คำสั่ง delete flash:vlan.dat เพื่อลบไฟล์ vlan.dat ออกไป
Delete filename [vlan.dat]?
Delete flash:vlan.dat? [confirm]
Switch#reload
Proceed with reload? [confirm]
00:47:28: %SYS – 5 – RELOAD: Reload requested
3. ปิด / เปิดสวิตซ์ใหม่หรือใช้คำสั่ง reload เพื่อรีเซตสวิตซ์
4. ลอง show vlan ดูอีกครั้ง จะพบว่าหมายเลข VLAN ที่เคยมีอยู่แต่เดิมได้ถูกลบออกไปเรียบร้อยแล้วเหลือแต่ VLAN ที่เป็นค่าดีฟอลต์
สำหรับสวิตซ์รุ่นที่เป็นแบบ Chassis – based ใหญ่ๆ คือมีช่องให้เสียบโมดูลได้นั้น ไฟล์ vlan.dat อาจไม่ได้ถูกเก็บไว้ใน flash: โดยตรง ให้ศึกษาจากคู่มือสวิตซ์รุ่นนั้นๆ อีกทีว่าไฟล์ vlan.dat นั้นถูกเก็บไว้ที่ตำแหน่งใดในระบบไฟล์
หลังจากลบไฟล์ vlan.dat ทิ้งไปและได้รีโหลดสวิตซ์ใหม่แล้ว ลองใช้คำสั่ง show vtp status ดู คุณควรพบหน้าตาผลลัพธ์คล้ายๆ รูปด้านล่างนี้
90F5_19#sh vtp status
VTP Version : 2
Configuration : 0 <--สังเกตว่าค่าของ “configuration reversion” จะถูกรีเซตให้กลายเป็นศูนย์
Maximum VLANs supported lacally : 250
Number of existing VLANs : 5
VTP Operrating Mode : Server <--โดยดีฟอลต์โหมดของ VTP จะเป็นโหมด VTP Server
VTP Domain Name : <-- ชื่อของ VTP Domain เป็น “NULL” คือว่างเปล่าไม่มีค่าใดๆ
(ตัดเอาต์พุตด้านล่างออก)
และเมื่อใช้คำสั่ง show vlan ดู คุณควรเห็นว่ามีเฉพาะ VLAN หมายเลข 1 และหมายเลขที่เป็นค่าดีฟอลต์เดิมคือหมายเลข 1002 – 1005 เท่านั้น ดังแสดงด้านล่าง
90F5_19#sh vlan
VLAN Name Status Port
---------- ---------------------------- ------------------------ ------------------------
1 default active Gi0/1, Gi0/2
1002 fddi – default act / unsup
1003 token – ring – default act / unsup
1004 fddinet – default act / unsup
1005 trnet – default act / unsup
(ตัดเอาต์พุตส่วนล่างออก)
การสร้าง VLAN และการเข้าเป็นสมาชิกของ VLAN
การสร้าง VLAN และการเข้าเป็นสมาชิกของ VLAN
มีอยู่ 2 วิธีในการเซตให้พอร์ตของสวิตซ์ (ส่งผลถึงเครื่องคอมพิวเตอร์ปลายทางที่ต่ออยู่กับพอร์ตของสวิตซ์) เข้าเป็นสมาชิกของ VLAN ได้แก่ static VLAN และ dynamic VLAN
Static VLANs
Static VLAN หรือเรียกอีกชื่อหนึ่งว่า “port-based membership” (การเป็นสมาชิกของ VLAN โดยพิจารณาจากพอร์ต) ในลักษณะนี้เครื่องคอมพิวเตอร์ของผู้ใช้ปลายทางจะเป็นสมาชิกของ VLAN โดยขึ้นกับพอร์ตสวิตซ์ที่มันคอนเน็กอยู่ด้วย
พอร์ตของสวิตซ์จะถูกเซตให้เป็นสมาชิกของ VLAN โดยการเซตอัพของผู้ดูแลระบบ ถึงแม้เครื่องคอมพิวเตอร์สองเครื่องจะเชื่อมต่ออยู่บนสวิตซ์ตัวเดียวกัน แต่หากพอร์ตที่มันเชื่อมอยู่เป็นสมาชิกของต่าง VLAN กัน เครื่องสองเครื่องดังกล่าวจะไม่มีทางสื่อสารกันได้ ในการทำให้เครื่องที่อยู่ต่าง VLAN กันพูดคุยกันได้ เราจำเป็นต้องมีอุปกรณ์เลเยอร์ 3 อย่างสวิตซ์เลเยอร์ 3 และเร้าเตอร์เข้ามาช่วย
การคอนฟิก static VLAN
ขั้นแรก ต้องสร้างหมายเลข VLAN ขึ้นมาเก็บไว้ในฐานข้อมูลของ VLAN (VLAN Database ต่อไปบางทีผู้เขียนจะเรียกทับศัพท์ว่า “ดาต้าเบสของ VLAN”) ก่อน ในขั้นที่สอง จึงค่อยแมปหมายเลข VLAN นั้นเข้ากับพอร์ตของสวิตซ์อีกครั้ง
ในการคอนฟิก Static VLAN บนสวิตซ์แบบ IOS BASED ขั้นตอนและคำสั่งมีดังนี้
Switch# vlan database <-- เป็นคำสั่งที่ใช้เข้าสู่ฐานข้อมูลหรือดาต้าเบสของ VLAN
Switch (vlan)# vlan <หมายเลข VLAN> name <ชื่อของ VLAN –มีหรือไม่ก็ได้>
Switch (vlan)# exit
Switch#configure terminal
Switch (config) #interface interface-type module/number <-- เช่น interface fa0/1
Switch (config-if) #switchport mode access <-- ให้พอร์ตทำงานอยู่ในโหมด access (อ่านเพิ่ม เติมในหัวข้อต่อไป)
Switch (config-if) #switchport access vlan <หมายเลข VLAN> แมปพอร์ตให้เป็นสมาชิกของ VLAN
Switch (config-if) #end
หมายเหตุ ################################################
เพิ่มเติมเกี่ยวกับการสร้าง VLAN บนสวิตซ์แบบ IOS BASED
1. ถ้าหากเราเข้าสู่อินเตอร์เฟซคอนฟิกกูเรชันโหมดก่อน แล้วพิมพ์คำสั่ง swicthport access vlan <หมายเลข VLAN> ก่อนที่จะสร้างหมายเลข VLAN ภายใน VLAN Database สวิตซ์จะจัดการสร้างหมายเลข VLAN นั้นขึ้นมาใน VLAN Database ให้โดยอัตโนมัติ
2. สำหรับสวิตซ์บางรุ่นเช่น รุ่น 3550 เราสามารถสร้างหมายเลข VLAN จากโกลบอลคอนฟิกกูเรชันโหมดได้ เช่น Switch(config)#vlan <หมายเลข VLAN> จากนั้นมันจะให้ใส่ชื่อของ VLAN แล้ว exit ออกมา
3. ก่อนการสร้างหมายเลข VLAN ควรมีการพิจารณาใช้งานโปรโตคอล VTP ก่อนทุกครั้ง (อ่าน VTP ในหัวข้อถัดไป) ว่าจะให้สวิตซ์ปัจจุบันทำงานในโหมดใดและจะสร้างหมายเลข VLAN จากศูนย์กลางหรือไม่ หรือจะสร้างบนแต่ละสวิตซ์แยกกัน
###########################################################
ในการคอนฟิก static VLAN บนสวิตซ์แบบ SET BASE ขั้นตอนและคำสั่งมีดังนี้
ตัวอย่างเช่น คำสั่งข้างล่างนี้จะสร้าง VLAN หมายเลข 80 ขึ้นมาและแมปเข้ากับพอร์ต 3/4 – 3/7
Console (enable) set vlan 80 3/4 - 7
VLAN 80 modified.
VLAN Mod/Port
-------- ---------------
80 3/4 -7
Console (enable)
ในการตรวจเช็คดูว่า บนสวิตซ์ปัจจุบันมีอยู่กี่ VLAN และมีเลขหมายใดบ้าง ให้ใช้คำสั่ง show vlan และถ้าต้องการดูหมายเลข VLAN แบบสรุปย่อ ให้ใช้คำสั่ง show vlan brief เอาต์พุทข้างล่างนี้เป็นตัวอย่างของคำสั่ง show vlan
2950Swicth11#sh vlan
VLAN Name Status Port
-------- ------------- ----------- ------------------------------------------------------------
1 default active Fa 0/24, Gi 0/2
10 VLAN active Fa 0/16, Fa 0/17, Fa 0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23
12 VLAN active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6,
Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15
(ตัดเอาต์พุตด้านล่างบางส่วนออกไปเพื่อความกระชับ)
เอาต์ทุตข้างต้นแสดงว่าพอร์ตตั้งแต่ fa0/1 – fa0/15 ได้รับการแมปให้เป็นสมาชิกของ VLAN หมายเลข 12 และพอร์ตตั้งแต่ fa0/16 – fa0/23 ได้รับการแมปให้เป็นสมาชิกของ VLAN หมายเลข 10
หมายเหตุ #####################################################
จำนวนหมายเลข VLAN ที่สามารถสร้างและจัดเก็บในดาต้าเบส VLAN ได้สูงสุดจะขึ้นอยู่กับสวิตซ์รุ่นนั้นๆให้ศึกษาดูจากคู่มือของแต่ละรุ่นอีกครั้งหนึ่งหรือไม่ก็ลองใช้คำสั่ง show vtp status และสังเกตฟิลด์ที่เขียนว่า “Maximum VLAN supported locally”
2950Swicth11#sh vtp status
VTP Version : 2
Configuration Revision : 11
Maximum VLANs supported locally : 250 <--
3750Swicth22#sh vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005 <--
##############################################################
Dynamic VLAN
Dynamic VLAN เป็นการกำหนด VLAN ให้กับเครื่องคอมพิวเตอร์ของผู้ใช้โดยพิจารณาจากหมายเลข MAC Address เมื่อเครื่องคอมพิวเตอร์เชื่อมต่อกับพอร์ตของสวิตซ์ สวิตซ์ จะตรวจเช็กหมายเลข MAC Address ของเครื่องคอมพิวเตอร์ และส่งหมายเลขดังกล่าวไปเช็กที่ฐานข้อมูลกลางเซิร์ฟเวอร์เพื่อดูว่าหมายเลข MAC Address ดังกล่าวเป็นสมาชิกของ VLAN ใด ผู้ดูแลระบบสามารถแมปความสัมพันธ์ระหว่าง MAC Address กับหมายเลข VLAN ได้โดยการเซตฐานข้อมูลที่อยู่บนเซิร์ฟเวอร์ที่ทำหน้าที่เป็น VLAN Membership Policy Server (VMPS)
สำหรับสวิตซ์ของซิสโก้ dynamic VLAN สามารถถูกสร้างและเซตอัพได้ผ่านทางการใช้เครื่องมือบริหารจัดการอย่างเช่น CiscoWorks 2000 หรือ CiscoWorks for Switched Internetwork (CWSI) ถึงแม้ว่า dynamic VLAN ดูเหมือนจะให้ความยืดหยุ่นในการจัดสรร VLAN แต่มันก็เพิ่มภาระที่ค่อนข้างมากทีเดียวให้กับผู้ดูแลเน็ทเวิร์กและไม่ได้รับความนิยม
หมายเหตุ ###########################################################
เรื่องของ dynamic VLAN เป็นหัวข้อที่ไม่ค่อยพบเห็นในการใช้งานจริงในปัจจุบัน อีกทั้งยังไม่ได้ถูกจัดให้เป็นหัวข้อสำหรับการออกสอบใน CCNA, CCNP ดังนั้น ผู้เขียนจะขอละไว้เพียงแค่นี้ ให้รู้จักความหมายของ dynamic VLAN เท่านั้นเป็นพอ
####################################################################
มีอยู่ 2 วิธีในการเซตให้พอร์ตของสวิตซ์ (ส่งผลถึงเครื่องคอมพิวเตอร์ปลายทางที่ต่ออยู่กับพอร์ตของสวิตซ์) เข้าเป็นสมาชิกของ VLAN ได้แก่ static VLAN และ dynamic VLAN
Static VLANs
Static VLAN หรือเรียกอีกชื่อหนึ่งว่า “port-based membership” (การเป็นสมาชิกของ VLAN โดยพิจารณาจากพอร์ต) ในลักษณะนี้เครื่องคอมพิวเตอร์ของผู้ใช้ปลายทางจะเป็นสมาชิกของ VLAN โดยขึ้นกับพอร์ตสวิตซ์ที่มันคอนเน็กอยู่ด้วย
พอร์ตของสวิตซ์จะถูกเซตให้เป็นสมาชิกของ VLAN โดยการเซตอัพของผู้ดูแลระบบ ถึงแม้เครื่องคอมพิวเตอร์สองเครื่องจะเชื่อมต่ออยู่บนสวิตซ์ตัวเดียวกัน แต่หากพอร์ตที่มันเชื่อมอยู่เป็นสมาชิกของต่าง VLAN กัน เครื่องสองเครื่องดังกล่าวจะไม่มีทางสื่อสารกันได้ ในการทำให้เครื่องที่อยู่ต่าง VLAN กันพูดคุยกันได้ เราจำเป็นต้องมีอุปกรณ์เลเยอร์ 3 อย่างสวิตซ์เลเยอร์ 3 และเร้าเตอร์เข้ามาช่วย
การคอนฟิก static VLAN
ขั้นแรก ต้องสร้างหมายเลข VLAN ขึ้นมาเก็บไว้ในฐานข้อมูลของ VLAN (VLAN Database ต่อไปบางทีผู้เขียนจะเรียกทับศัพท์ว่า “ดาต้าเบสของ VLAN”) ก่อน ในขั้นที่สอง จึงค่อยแมปหมายเลข VLAN นั้นเข้ากับพอร์ตของสวิตซ์อีกครั้ง
ในการคอนฟิก Static VLAN บนสวิตซ์แบบ IOS BASED ขั้นตอนและคำสั่งมีดังนี้
Switch# vlan database <-- เป็นคำสั่งที่ใช้เข้าสู่ฐานข้อมูลหรือดาต้าเบสของ VLAN
Switch (vlan)# vlan <หมายเลข VLAN> name <ชื่อของ VLAN –มีหรือไม่ก็ได้>
Switch (vlan)# exit
Switch#configure terminal
Switch (config) #interface interface-type module/number <-- เช่น interface fa0/1
Switch (config-if) #switchport mode access <-- ให้พอร์ตทำงานอยู่ในโหมด access (อ่านเพิ่ม เติมในหัวข้อต่อไป)
Switch (config-if) #switchport access vlan <หมายเลข VLAN> แมปพอร์ตให้เป็นสมาชิกของ VLAN
Switch (config-if) #end
หมายเหตุ ################################################
เพิ่มเติมเกี่ยวกับการสร้าง VLAN บนสวิตซ์แบบ IOS BASED
1. ถ้าหากเราเข้าสู่อินเตอร์เฟซคอนฟิกกูเรชันโหมดก่อน แล้วพิมพ์คำสั่ง swicthport access vlan <หมายเลข VLAN> ก่อนที่จะสร้างหมายเลข VLAN ภายใน VLAN Database สวิตซ์จะจัดการสร้างหมายเลข VLAN นั้นขึ้นมาใน VLAN Database ให้โดยอัตโนมัติ
2. สำหรับสวิตซ์บางรุ่นเช่น รุ่น 3550 เราสามารถสร้างหมายเลข VLAN จากโกลบอลคอนฟิกกูเรชันโหมดได้ เช่น Switch(config)#vlan <หมายเลข VLAN> จากนั้นมันจะให้ใส่ชื่อของ VLAN แล้ว exit ออกมา
3. ก่อนการสร้างหมายเลข VLAN ควรมีการพิจารณาใช้งานโปรโตคอล VTP ก่อนทุกครั้ง (อ่าน VTP ในหัวข้อถัดไป) ว่าจะให้สวิตซ์ปัจจุบันทำงานในโหมดใดและจะสร้างหมายเลข VLAN จากศูนย์กลางหรือไม่ หรือจะสร้างบนแต่ละสวิตซ์แยกกัน
###########################################################
ในการคอนฟิก static VLAN บนสวิตซ์แบบ SET BASE ขั้นตอนและคำสั่งมีดังนี้
ตัวอย่างเช่น คำสั่งข้างล่างนี้จะสร้าง VLAN หมายเลข 80 ขึ้นมาและแมปเข้ากับพอร์ต 3/4 – 3/7
Console (enable) set vlan 80 3/4 - 7
VLAN 80 modified.
VLAN Mod/Port
-------- ---------------
80 3/4 -7
Console (enable)
ในการตรวจเช็คดูว่า บนสวิตซ์ปัจจุบันมีอยู่กี่ VLAN และมีเลขหมายใดบ้าง ให้ใช้คำสั่ง show vlan และถ้าต้องการดูหมายเลข VLAN แบบสรุปย่อ ให้ใช้คำสั่ง show vlan brief เอาต์พุทข้างล่างนี้เป็นตัวอย่างของคำสั่ง show vlan
2950Swicth11#sh vlan
VLAN Name Status Port
-------- ------------- ----------- ------------------------------------------------------------
1 default active Fa 0/24, Gi 0/2
10 VLAN active Fa 0/16, Fa 0/17, Fa 0/18, Fa0/19, Fa0/20,
Fa0/21, Fa0/22, Fa0/23
12 VLAN active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5, Fa0/6,
Fa0/8, Fa0/9, Fa0/10, Fa0/11, Fa0/12,
Fa0/13, Fa0/14, Fa0/15
(ตัดเอาต์พุตด้านล่างบางส่วนออกไปเพื่อความกระชับ)
เอาต์ทุตข้างต้นแสดงว่าพอร์ตตั้งแต่ fa0/1 – fa0/15 ได้รับการแมปให้เป็นสมาชิกของ VLAN หมายเลข 12 และพอร์ตตั้งแต่ fa0/16 – fa0/23 ได้รับการแมปให้เป็นสมาชิกของ VLAN หมายเลข 10
หมายเหตุ #####################################################
จำนวนหมายเลข VLAN ที่สามารถสร้างและจัดเก็บในดาต้าเบส VLAN ได้สูงสุดจะขึ้นอยู่กับสวิตซ์รุ่นนั้นๆให้ศึกษาดูจากคู่มือของแต่ละรุ่นอีกครั้งหนึ่งหรือไม่ก็ลองใช้คำสั่ง show vtp status และสังเกตฟิลด์ที่เขียนว่า “Maximum VLAN supported locally”
2950Swicth11#sh vtp status
VTP Version : 2
Configuration Revision : 11
Maximum VLANs supported locally : 250 <--
3750Swicth22#sh vtp status
VTP Version : 2
Configuration Revision : 0
Maximum VLANs supported locally : 1005 <--
##############################################################
Dynamic VLAN
Dynamic VLAN เป็นการกำหนด VLAN ให้กับเครื่องคอมพิวเตอร์ของผู้ใช้โดยพิจารณาจากหมายเลข MAC Address เมื่อเครื่องคอมพิวเตอร์เชื่อมต่อกับพอร์ตของสวิตซ์ สวิตซ์ จะตรวจเช็กหมายเลข MAC Address ของเครื่องคอมพิวเตอร์ และส่งหมายเลขดังกล่าวไปเช็กที่ฐานข้อมูลกลางเซิร์ฟเวอร์เพื่อดูว่าหมายเลข MAC Address ดังกล่าวเป็นสมาชิกของ VLAN ใด ผู้ดูแลระบบสามารถแมปความสัมพันธ์ระหว่าง MAC Address กับหมายเลข VLAN ได้โดยการเซตฐานข้อมูลที่อยู่บนเซิร์ฟเวอร์ที่ทำหน้าที่เป็น VLAN Membership Policy Server (VMPS)
สำหรับสวิตซ์ของซิสโก้ dynamic VLAN สามารถถูกสร้างและเซตอัพได้ผ่านทางการใช้เครื่องมือบริหารจัดการอย่างเช่น CiscoWorks 2000 หรือ CiscoWorks for Switched Internetwork (CWSI) ถึงแม้ว่า dynamic VLAN ดูเหมือนจะให้ความยืดหยุ่นในการจัดสรร VLAN แต่มันก็เพิ่มภาระที่ค่อนข้างมากทีเดียวให้กับผู้ดูแลเน็ทเวิร์กและไม่ได้รับความนิยม
หมายเหตุ ###########################################################
เรื่องของ dynamic VLAN เป็นหัวข้อที่ไม่ค่อยพบเห็นในการใช้งานจริงในปัจจุบัน อีกทั้งยังไม่ได้ถูกจัดให้เป็นหัวข้อสำหรับการออกสอบใน CCNA, CCNP ดังนั้น ผู้เขียนจะขอละไว้เพียงแค่นี้ ให้รู้จักความหมายของ dynamic VLAN เท่านั้นเป็นพอ
####################################################################
ประโยชน์ที่ได้รับจากการสร้างและแบ่ง VLAN
ประโยชน์ที่ได้รับจากการสร้างและแบ่ง VLAN
- จำกัดขอบเขตการแพร่กระจายของบรอดคาสต์ทราฟฟิกไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก โดยปกติ หลายๆแอปพลิเคชันบนเน็ตเวิร์ก รวมทั้งไดรเวอร์ของโปรโตคอลต่างๆ เช่น ไดรเวอร์ของ TCP/IP ,IPX/SPX มักจะมีการส่งบรอดคาสต์เฟรมออกมาเป็นระยะๆ เพื่อประโยชน์ต่างๆอันเอื้ออำนวยต่อการปฏิบัติงานของมัน ถึงแม้บรอดคาสต์ทราฟฟิกจะมีประโยชน์ แต่ในเวลาเดียวกัน มันก็ส่งผลกระทบต่อประสิทธิภาพโดยรวมได้ หากไม่มีการจำกัดขอบเขตของบรอดคาสต์ทราฟฟิก
ทำไมบรอดคาสต์ทราฟฟิกจึงมีผลต่อประสิทธิภาพของเน็ตเวิร์ก ?
1. เพราะบรอดคาสต์เฟรมเป็นเฟรมพิเศษที่ “บังคับ” ให้ทุกๆ เครื่องในบรอดคาสต์โดเมนนั้นๆ ต้องรับเอาบรอดคาสต์เฟรมไปใส่ไว้ในบัฟเฟอร์ของเน็ตเวิร์กการ์ดของตน และทำการประมวลผลบรอดคาสต์เฟรมด้วยการส่งสัญญาณไปอินเตอร์รัพป์ซีพียูของเครื่องเละให้ไดรเวอร์ของโปรโตคอลในเลเยอร์ 3 เป็นผู้ประมวลผลต่อไม่ว่าตนเองจะมีหรือไม่มีส่วนเกี่ยวข้องใดๆ กับเนื้อหาภายในเฟรมนั้นๆ ก็ตาม ภายหลังหากพบว่าตนเองจำเป็นต้องมีส่วนร่วมกับเนื้อหาภายในบรอดคาสต์เฟรมนั้นๆ มันก็จะส่งแพ็กเก็ตออกมาเละส่งต่อให้ไดรเวอร์ของโปรโตคอลในเลเยอร์ที่สูงกว่าต่อไป (ตามหลักการ De-encapsulate ของ OSI Model) แต่หากพบว่าตนเองไม่มีส่วนเกี่ยวข้องใดๆเลยกับเฟรมดังกล่าว มันก็จะโยนทิ้ง(discard)บรอดคาสต์เฟรมนั้นๆทิ้งไป ปัญหาที่เราสนใจในที่นี้ก็คือ หากมันต้องคอยรับ บรอดคาสต์เฟรมอยู่เป็นระยะๆ ตลอดเวลา ซีพียูของเครื่องคอมพิวเตอร์ก็จะต้องถูกอินเตอร์รัพป์อยู่ตลอดเวลาให้ทำการประมวลผลบรอดคาสต์เฟรม และเม้จะเป็นเน็ตเวิร์กการ์ดสมัยใหม่ที่มีส่วนประมวลผลในตัวหรือมีซีพียูความเร็วสูงก็ตาม มันก็จะต้องเสียเวลาและเพิ่มโหลดโดยไม่จำเป็น
2. เพราะบรอดคาสต์เป็นเฟรมพิเศษที่เมื่อสวิตซ์ได้รับเฟรมดังกล่าวแล้ว มันจำเป็นต้องส่งผ่าน (forword)บรอดคาสต์เฟรมออกไปที่ทุกๆพอร์ต เพื่อให้ทุกๆ เครื่องที่ต่ออยู่กับสวิตซ์ได้รับบรอดคาสต์เฟรม นี่เท่ากับเป็นการส่งเฟรมออกไปแย่งใช้งานแบนวิธ (bandwidth) ของพอร์ตอื่นๆ การแบ่ง VLAN เท่ากับเป็นการจำกัดปริมาณพอร์ตที่บรอดคาสต์ทราฟฟิกต้องถูกส่งออกไปให้น้อยลง
- สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง ACL บนอุปกรณ์ในเลเยอร์ 3 และการลดความเสี่ยงเกี่ยวกับการดักจับทราฟฟิก
ทำไมการแบ่ง VLAN จึงช่วยเพิ่มความปลอดภัย ?
1. ดังที่ได้กล่าวไปแล้วตอนต้น (หัวข้อ “ความสัมพันธ์ระหว่าง VLAN กับโปรโตคอล TCP/IP”) แล้วว่า การแบ่งแยก VLAN เท่ากับเป็นการแบ่งแยกซับเน็ตแอดเดรสของเครื่องคอมพิวเตอร์ และเครื่องคอมพิวเตอร์ใน VLAN หนึ่งๆ จำเป็นต้องส่งแพ็กเก็ตไปยังอุปกรณ์ในเลเยอร์ที่ 3 อย่างเช่น เร้าเตอร์หรือสวิตซ์เลเยอร์ 3 ก่อน เพื่อให้อุปกรณ์ดังกล่าวช่วยส่งผ่านแพ็กเก็ตไปให้ถึงเครื่องคอมพิวเตอร์ใน VLAN ปลายทาง ในจังหวะที่แพ็กเก็ตกำลังถูกเร้าต์ (route) อยู่บนอุปกรณ์ดังกล่าว เราสามารถเซต Access Control List (ACL)บนเร้าเตอร์เพื่อตรวจเช็กเงื่อนไขต่างๆ ของแพ็กเก็ตและทราฟฟิกต่างๆ ได้ก่อนที่จะยินยอมให้ส่งผ่านออกไปยัง VLAN ปลายทาง
2. โดยปกติทราฟฟิกที่อยู่ใน VLAN เดียวกันมีโอกาสถูกดักจับได้ด้วยเทคนิคการ “Spoofing” ต่างๆ การแบ่งแยกเน็ตเวิร์กออกมาเป็น VLAN ใหม่จะช่วยลดความเสี่ยงการโจมตีด้วยเทคนิค “Spoofing” ตัวอย่างหนึ่งของการแบ่ง VLAN เพื่อเพิ่มความปลอดภัยได้แก่ การแบ่งแยกกลุ่มของเซิร์ฟเวอร์ออกไปอยู่ใน VLAN ต่างหากเฉพาะ เพื่อที่ว่าจะได้สามารถประยุกต์ใช้ ALC บนสวิตซ์เลเยอร์ 3 เพื่ออนุญาตหรือปฏิเสธการเข้าถึงเซิร์ฟเวอร์จากเครื่องคอมพิวเตอร์บางเครื่องหรือจากบาง VLAN ได้ หรือเพื่อควบคุมประเภทของทราฟฟิกที่สามารถรับส่งกับเซิร์ฟเวอร์ได้ ถ้าหากไม่แบ่ง VLAN ให้กับกลุ่มเซิร์ฟเวอร์ เราจะไม่มีทางใช้ ACL เพื่อทำงานดังกล่าวได้ เพราะเซิร์ฟเวอร์กับไคลแอนต์จะอยู่ในซับเน็ตเวิร์กเดียวกัน และสามารถสื่อสารกันได้โดยตรงโดยไม่ผ่านสวิตซ์เลเยอร์ 3
- ผู้ใช้สามารถเคลื่อนย้ายไป VLAN (หรือ Subnet) อื่นๆ ได้โดยเพียงแค่เปลี่ยนคอนฟิกกูเรชันของสวิตซ์และบนโปรโตคอล TCP/IP บนเครื่องเพียงนิดเดียว โดยไม่ต้องมีการย้ายสายเคเบิ้ลใดๆเลย
- ระบบสามารถรองรับการขยายตัวในอนาคตได้โดยง่าย บางท่าน เมื่อเริ่มต้นออกแบบและติดตั้งเน็ตเวิร์กก็เซตให้ทั้งหมดอยู่ภายใต้ VLAN เดียวกันไป ครั้นต่อๆ มาเครื่องคอมพิวเตอร์เพิ่มปริมาณมากขึ้นเรื่อยๆ ส่งผลให้ปริมาณบรอดคาสต์ทราฟฟิกมีมากขึ้น และถูก FLOOD แพร่กระจายไปทั่วถึงกันทุกๆชั้น ในลักษณะที่เรียกว่า “FLAT NETWORK” ครั้นพอจะแบ่งเป็น VLAN ย่อยๆ ก็อาจมาติดปัญหาหลายๆเรื่อง เช่น เรื่องของ IP Address ที่จัดสรรให้กับเครื่องต่างๆ โดยเฉพาะเซิร์ฟเวอร์ ระบบงานสำคัญที่ถูกเซตไว้แล้ว IP Address ที่อยู่บนเครื่องเซิร์ฟเวอร์เหล่านี้อาจมีความจำเป็นต้องเปลี่ยนแปลงไปหลังจากอิมพลีเมนต์ VLAN ขึ้นมาซึ่งกลายเป็นภาระยุ่งยาก เพราะบางทีก็เปลี่ยนไม่ได้เนื่องจาก IP Address ได้ถูก “hard code” เข้าไปในแอปพลิเคชันโปรแกรมแล้ว เป็นต้น ถ้าหากมีการวางแผนแบ่ง VLAN ไว้ก่อน ในอนาคตหากมีการเพิ่มขยายระบบออกไปเช่น มีการเชื่อมต่อสวิตซ์ใหม่ให้กับสวิตซ์ตัวเดิมหรือมีปริมาณเครื่องคอมพิวเตอร์มากขึ้น ก็ไม่ต้องกังวลว่าปริมาณเครื่องที่เพิ่มขึ้นจะส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก
- จำกัดขอบเขตการแพร่กระจายของบรอดคาสต์ทราฟฟิกไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก โดยปกติ หลายๆแอปพลิเคชันบนเน็ตเวิร์ก รวมทั้งไดรเวอร์ของโปรโตคอลต่างๆ เช่น ไดรเวอร์ของ TCP/IP ,IPX/SPX มักจะมีการส่งบรอดคาสต์เฟรมออกมาเป็นระยะๆ เพื่อประโยชน์ต่างๆอันเอื้ออำนวยต่อการปฏิบัติงานของมัน ถึงแม้บรอดคาสต์ทราฟฟิกจะมีประโยชน์ แต่ในเวลาเดียวกัน มันก็ส่งผลกระทบต่อประสิทธิภาพโดยรวมได้ หากไม่มีการจำกัดขอบเขตของบรอดคาสต์ทราฟฟิก
ทำไมบรอดคาสต์ทราฟฟิกจึงมีผลต่อประสิทธิภาพของเน็ตเวิร์ก ?
1. เพราะบรอดคาสต์เฟรมเป็นเฟรมพิเศษที่ “บังคับ” ให้ทุกๆ เครื่องในบรอดคาสต์โดเมนนั้นๆ ต้องรับเอาบรอดคาสต์เฟรมไปใส่ไว้ในบัฟเฟอร์ของเน็ตเวิร์กการ์ดของตน และทำการประมวลผลบรอดคาสต์เฟรมด้วยการส่งสัญญาณไปอินเตอร์รัพป์ซีพียูของเครื่องเละให้ไดรเวอร์ของโปรโตคอลในเลเยอร์ 3 เป็นผู้ประมวลผลต่อไม่ว่าตนเองจะมีหรือไม่มีส่วนเกี่ยวข้องใดๆ กับเนื้อหาภายในเฟรมนั้นๆ ก็ตาม ภายหลังหากพบว่าตนเองจำเป็นต้องมีส่วนร่วมกับเนื้อหาภายในบรอดคาสต์เฟรมนั้นๆ มันก็จะส่งแพ็กเก็ตออกมาเละส่งต่อให้ไดรเวอร์ของโปรโตคอลในเลเยอร์ที่สูงกว่าต่อไป (ตามหลักการ De-encapsulate ของ OSI Model) แต่หากพบว่าตนเองไม่มีส่วนเกี่ยวข้องใดๆเลยกับเฟรมดังกล่าว มันก็จะโยนทิ้ง(discard)บรอดคาสต์เฟรมนั้นๆทิ้งไป ปัญหาที่เราสนใจในที่นี้ก็คือ หากมันต้องคอยรับ บรอดคาสต์เฟรมอยู่เป็นระยะๆ ตลอดเวลา ซีพียูของเครื่องคอมพิวเตอร์ก็จะต้องถูกอินเตอร์รัพป์อยู่ตลอดเวลาให้ทำการประมวลผลบรอดคาสต์เฟรม และเม้จะเป็นเน็ตเวิร์กการ์ดสมัยใหม่ที่มีส่วนประมวลผลในตัวหรือมีซีพียูความเร็วสูงก็ตาม มันก็จะต้องเสียเวลาและเพิ่มโหลดโดยไม่จำเป็น
2. เพราะบรอดคาสต์เป็นเฟรมพิเศษที่เมื่อสวิตซ์ได้รับเฟรมดังกล่าวแล้ว มันจำเป็นต้องส่งผ่าน (forword)บรอดคาสต์เฟรมออกไปที่ทุกๆพอร์ต เพื่อให้ทุกๆ เครื่องที่ต่ออยู่กับสวิตซ์ได้รับบรอดคาสต์เฟรม นี่เท่ากับเป็นการส่งเฟรมออกไปแย่งใช้งานแบนวิธ (bandwidth) ของพอร์ตอื่นๆ การแบ่ง VLAN เท่ากับเป็นการจำกัดปริมาณพอร์ตที่บรอดคาสต์ทราฟฟิกต้องถูกส่งออกไปให้น้อยลง
- สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง ACL บนอุปกรณ์ในเลเยอร์ 3 และการลดความเสี่ยงเกี่ยวกับการดักจับทราฟฟิก
ทำไมการแบ่ง VLAN จึงช่วยเพิ่มความปลอดภัย ?
1. ดังที่ได้กล่าวไปแล้วตอนต้น (หัวข้อ “ความสัมพันธ์ระหว่าง VLAN กับโปรโตคอล TCP/IP”) แล้วว่า การแบ่งแยก VLAN เท่ากับเป็นการแบ่งแยกซับเน็ตแอดเดรสของเครื่องคอมพิวเตอร์ และเครื่องคอมพิวเตอร์ใน VLAN หนึ่งๆ จำเป็นต้องส่งแพ็กเก็ตไปยังอุปกรณ์ในเลเยอร์ที่ 3 อย่างเช่น เร้าเตอร์หรือสวิตซ์เลเยอร์ 3 ก่อน เพื่อให้อุปกรณ์ดังกล่าวช่วยส่งผ่านแพ็กเก็ตไปให้ถึงเครื่องคอมพิวเตอร์ใน VLAN ปลายทาง ในจังหวะที่แพ็กเก็ตกำลังถูกเร้าต์ (route) อยู่บนอุปกรณ์ดังกล่าว เราสามารถเซต Access Control List (ACL)บนเร้าเตอร์เพื่อตรวจเช็กเงื่อนไขต่างๆ ของแพ็กเก็ตและทราฟฟิกต่างๆ ได้ก่อนที่จะยินยอมให้ส่งผ่านออกไปยัง VLAN ปลายทาง
2. โดยปกติทราฟฟิกที่อยู่ใน VLAN เดียวกันมีโอกาสถูกดักจับได้ด้วยเทคนิคการ “Spoofing” ต่างๆ การแบ่งแยกเน็ตเวิร์กออกมาเป็น VLAN ใหม่จะช่วยลดความเสี่ยงการโจมตีด้วยเทคนิค “Spoofing” ตัวอย่างหนึ่งของการแบ่ง VLAN เพื่อเพิ่มความปลอดภัยได้แก่ การแบ่งแยกกลุ่มของเซิร์ฟเวอร์ออกไปอยู่ใน VLAN ต่างหากเฉพาะ เพื่อที่ว่าจะได้สามารถประยุกต์ใช้ ALC บนสวิตซ์เลเยอร์ 3 เพื่ออนุญาตหรือปฏิเสธการเข้าถึงเซิร์ฟเวอร์จากเครื่องคอมพิวเตอร์บางเครื่องหรือจากบาง VLAN ได้ หรือเพื่อควบคุมประเภทของทราฟฟิกที่สามารถรับส่งกับเซิร์ฟเวอร์ได้ ถ้าหากไม่แบ่ง VLAN ให้กับกลุ่มเซิร์ฟเวอร์ เราจะไม่มีทางใช้ ACL เพื่อทำงานดังกล่าวได้ เพราะเซิร์ฟเวอร์กับไคลแอนต์จะอยู่ในซับเน็ตเวิร์กเดียวกัน และสามารถสื่อสารกันได้โดยตรงโดยไม่ผ่านสวิตซ์เลเยอร์ 3
- ผู้ใช้สามารถเคลื่อนย้ายไป VLAN (หรือ Subnet) อื่นๆ ได้โดยเพียงแค่เปลี่ยนคอนฟิกกูเรชันของสวิตซ์และบนโปรโตคอล TCP/IP บนเครื่องเพียงนิดเดียว โดยไม่ต้องมีการย้ายสายเคเบิ้ลใดๆเลย
- ระบบสามารถรองรับการขยายตัวในอนาคตได้โดยง่าย บางท่าน เมื่อเริ่มต้นออกแบบและติดตั้งเน็ตเวิร์กก็เซตให้ทั้งหมดอยู่ภายใต้ VLAN เดียวกันไป ครั้นต่อๆ มาเครื่องคอมพิวเตอร์เพิ่มปริมาณมากขึ้นเรื่อยๆ ส่งผลให้ปริมาณบรอดคาสต์ทราฟฟิกมีมากขึ้น และถูก FLOOD แพร่กระจายไปทั่วถึงกันทุกๆชั้น ในลักษณะที่เรียกว่า “FLAT NETWORK” ครั้นพอจะแบ่งเป็น VLAN ย่อยๆ ก็อาจมาติดปัญหาหลายๆเรื่อง เช่น เรื่องของ IP Address ที่จัดสรรให้กับเครื่องต่างๆ โดยเฉพาะเซิร์ฟเวอร์ ระบบงานสำคัญที่ถูกเซตไว้แล้ว IP Address ที่อยู่บนเครื่องเซิร์ฟเวอร์เหล่านี้อาจมีความจำเป็นต้องเปลี่ยนแปลงไปหลังจากอิมพลีเมนต์ VLAN ขึ้นมาซึ่งกลายเป็นภาระยุ่งยาก เพราะบางทีก็เปลี่ยนไม่ได้เนื่องจาก IP Address ได้ถูก “hard code” เข้าไปในแอปพลิเคชันโปรแกรมแล้ว เป็นต้น ถ้าหากมีการวางแผนแบ่ง VLAN ไว้ก่อน ในอนาคตหากมีการเพิ่มขยายระบบออกไปเช่น มีการเชื่อมต่อสวิตซ์ใหม่ให้กับสวิตซ์ตัวเดิมหรือมีปริมาณเครื่องคอมพิวเตอร์มากขึ้น ก็ไม่ต้องกังวลว่าปริมาณเครื่องที่เพิ่มขึ้นจะส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก
ความสัมพันธ์ระหว่าง VLAN กับมุมมองของเครื่องคอมพิวเตอร์ที่ผู้ใช้ใช้งานอยู่
ความสัมพันธ์ระหว่าง VLAN กับมุมมองของเครื่องคอมพิวเตอร์ที่ผู้ใช้ใช้งานอยู่
ท่านผู้อ่านจะได้เห็นในอนาคตว่า ขั้นตอนหนึ่งที่อยู่ในกระบวนการอิมพลีเมนต์ VLAN ก็คือ การแมปพอร์ตบนสวิตซ์เข้ากับหมายเลข VLAN ลักษณะนี้เรียกว่า การกำหนดว่าพอร์ตไหนเป็นสมาชิกของ VLAN ใด การกระทำดังจะส่งผลให้เครื่องคอมพิวเตอร์ที่เชื่อมอยู่กับพอร์ตนั้นเป็นสมาชิกของ VLAN นั้นๆไปด้วยโดยปริยาย โดยที่จะไม่มีการเซตคอนฟิกูเรชั่นใดๆเลยเกี่ยวกับหมายเลข VLAN เกิดขึ้นบนคอมพิวเตอร์ปลายทางของผู้ใช้ สิ่งที่ต้องถูกเซตลงไปให้เหมาะสมบนเครื่องของผู้ใช้ก็แค่เพียง พารามิเตอร์ของ TCP/IP อย่างเช่น หมายเลข IP Address ที่คำนวณมาจากซับเน็ตแอดเดรสที่ได้รับการจัดสรรให้เป็นซับเน็ตแอดเดรสประจำ VLAN นั้นๆเท่านั้น (รวมทั้ง Subnet Mask และ Default Gateway ที่เหมาะสม)
ท่านผู้อ่านจะได้เห็นในอนาคตว่า ขั้นตอนหนึ่งที่อยู่ในกระบวนการอิมพลีเมนต์ VLAN ก็คือ การแมปพอร์ตบนสวิตซ์เข้ากับหมายเลข VLAN ลักษณะนี้เรียกว่า การกำหนดว่าพอร์ตไหนเป็นสมาชิกของ VLAN ใด การกระทำดังจะส่งผลให้เครื่องคอมพิวเตอร์ที่เชื่อมอยู่กับพอร์ตนั้นเป็นสมาชิกของ VLAN นั้นๆไปด้วยโดยปริยาย โดยที่จะไม่มีการเซตคอนฟิกูเรชั่นใดๆเลยเกี่ยวกับหมายเลข VLAN เกิดขึ้นบนคอมพิวเตอร์ปลายทางของผู้ใช้ สิ่งที่ต้องถูกเซตลงไปให้เหมาะสมบนเครื่องของผู้ใช้ก็แค่เพียง พารามิเตอร์ของ TCP/IP อย่างเช่น หมายเลข IP Address ที่คำนวณมาจากซับเน็ตแอดเดรสที่ได้รับการจัดสรรให้เป็นซับเน็ตแอดเดรสประจำ VLAN นั้นๆเท่านั้น (รวมทั้ง Subnet Mask และ Default Gateway ที่เหมาะสม)
ความสัมพันธ์ระหว่าง VLAN กับโปรโตคอล TCP/IP
ความสัมพันธ์ระหว่าง VLAN กับโปรโตคอล TCP/IP
หากมองจากมุมของเลเยอร์ 2 การแบ่ง VLAN เป็นการแบ่งกลุ่มของเครื่องคอมพิวเตอร์ที่เชื่อมอยู่กับพอร์ตของสวิตซ์ให้เสมือนว่าอยู่ใน LAN เดียวกันโดยไม่เกี่ยวข้องกับ VLAN อื่น ๆ และเฉพาะเครื่องใรกลุ่มดังกล่าวเท่านั้นที่สามารถสื่อสารกันได้ และบรอดคาสต์ทราฟฟิกจะถูกจำกัดให้อยู่เฉพาะใน VLAN นั้น ๆ เท่านั้นไม่กระจายไปยังพอร์ตของสวิตซ์ที่อยู่ใน VLAN อื่นๆ
เมื่อมองจากแง่มุมของเลเยอร์ที่ 3 ซึ่งเป็นเลเยอร์ของโปรโตคอล IP นั้น สิ่งที่เราสนใจก็คือ การวางแผนหมายเลขซับเน็ตแอดเดรส และการเซ็ต หมายเลข IP Address ให้กับเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากซับเน็ตหนึ่งซับเน็ตในโลกของ IP เป็นการกำหนดขอบเขตของบรอดคาสต์ขึ้นมา ในขณะเดียวกัน VLAN หนึ่ง VLAN ก็เป็นการกำหนดขอบเขตของบรอดคาสต์โดเมนขึ้นมาเช่นเดียวกัน ดังนั้น จึงส่งผลให้ซับเน็ต 1 ซับเน็ตมีความสอดคล้อง VLAN 1VLAN นี่เป็นที่มาของหลักการในทางปฏิบัติที่ว่า “หมายเลขซับเน็ตแอดเดรสของโปรโตคอล IP บนเครื่องคอมพิวเตอร์ที่อยู่ใน VLAN หนึ่งๆ จะต้องเป็นค่าเฉพาะตัว (unique) ที่ไม่ซ้ำกันกับหมายเลขแอดเดรสบนเครื่องคอมพิวเตอร์ที่อยู่ใน VLAN อื่น” กล่าวสรุปได้อีกแบบหนึ่งว่า ในการออกแบบและวางแผนแอดเรสให้กับเน็ตเวิร์กที่ใช้ VLAN นั้น เราจะต้องออกแบบให้ 1 VLAN ได้รับการจัดสรร 1 ซับเน็ตแอดเดรสเฉพาะตัวไป ถ้ามีอยู่ 10 VLAN ซับเน็ตแอดเดรสที่ต้องจัดสรรให้ก็ควรเท่ากับ 10 ซับเน็ตแอดเดรส ( 1 VLAN ต่อ 1 ซับเน็ตแอดเดรส )
ซิสโก้แนะนำหลักการปฏิบัติที่ดีว่า ภายใน 1 VLAN ควรประกอบด้วยเฉพาะ 1 ซับเน็ตแอดเดรสเท่านั้น แต่ในการใช้งานจริงบางครั้งก็เป็นไปได้เหมือนกันที่ภายใน 1 VLAN จะได้รับการจัดสรรให้มีซับเน็ตแอดเดรสมากว่า 1 ซับเน็ตแอดเดรส ตัวอย่างเช่น ในครั้งแรกของการอิมพลีเมนต์เน็ตเวิร์ก เราออกแบบให้ 1 VLAN ใช้งานซับเน็ตแอดเดรสในคลาส C ดังที่ได้ทราบไปแล้วว่าแอดเดรสในคลาส C นั้นสามารถรองรับการกำหนดหมายเลข IP Address ได้สูงสุดเท่ากับ 254 IP Address แต่บังเอิญในอนาคต มีความจำเป็นต้องเพิ่มขยายเครื่องคอมพิวเตอร์ใน VLAN นั้นๆเข้าไปอีกมากกว่า 254 เครื่อง กรณีนี้เราสามารถเพิ่มหมายเลขซับเน็ตแอดเดรสเข้าไปใหม่ใน VLAN เดิมได้ กลายเป็น 1 VLAN ประกอบด้วยซับเน็ตแอดเดรสมากกว่า 1 ซับเน็ตแอดเดรส
สำหรับกรณีเช่นนี้ ถึงแม้เครื่องจำได้รับการกำหนดซับเน็ตแอดเดรสที่ต่างกัน แต่บรอดคาสต์เฟรมก็ยังมีโอกาสที่จะถูกส่งไปยังเครื่องที่อยู่ต่างซับเน็ตกันได้ ทั้งนี้เพราะเครื่องทั้งหมดเป็นสมาชิกของ VLAN เดียวกันกล่าวอีกอย่างก็คือ ถึงแม้จะแบ่งแยกเป็นซับเน็ตใหม่ได้ก็จริง แต่บรอดคาตส์ทราฟฟิกจากซับเน็ตหนึ่งก็สามารถถูกแพร่กระจายไปถึงอีกซับเน็ตหนึ่งได้ ทั้งนี้เพราะซับเน็ตทั้งสองอาศัยอยู่ภายใต้ VLAN เดียวกัน
หากมองจากมุมของเลเยอร์ 2 การแบ่ง VLAN เป็นการแบ่งกลุ่มของเครื่องคอมพิวเตอร์ที่เชื่อมอยู่กับพอร์ตของสวิตซ์ให้เสมือนว่าอยู่ใน LAN เดียวกันโดยไม่เกี่ยวข้องกับ VLAN อื่น ๆ และเฉพาะเครื่องใรกลุ่มดังกล่าวเท่านั้นที่สามารถสื่อสารกันได้ และบรอดคาสต์ทราฟฟิกจะถูกจำกัดให้อยู่เฉพาะใน VLAN นั้น ๆ เท่านั้นไม่กระจายไปยังพอร์ตของสวิตซ์ที่อยู่ใน VLAN อื่นๆ
เมื่อมองจากแง่มุมของเลเยอร์ที่ 3 ซึ่งเป็นเลเยอร์ของโปรโตคอล IP นั้น สิ่งที่เราสนใจก็คือ การวางแผนหมายเลขซับเน็ตแอดเดรส และการเซ็ต หมายเลข IP Address ให้กับเครื่องคอมพิวเตอร์ของผู้ใช้ เนื่องจากซับเน็ตหนึ่งซับเน็ตในโลกของ IP เป็นการกำหนดขอบเขตของบรอดคาสต์ขึ้นมา ในขณะเดียวกัน VLAN หนึ่ง VLAN ก็เป็นการกำหนดขอบเขตของบรอดคาสต์โดเมนขึ้นมาเช่นเดียวกัน ดังนั้น จึงส่งผลให้ซับเน็ต 1 ซับเน็ตมีความสอดคล้อง VLAN 1VLAN นี่เป็นที่มาของหลักการในทางปฏิบัติที่ว่า “หมายเลขซับเน็ตแอดเดรสของโปรโตคอล IP บนเครื่องคอมพิวเตอร์ที่อยู่ใน VLAN หนึ่งๆ จะต้องเป็นค่าเฉพาะตัว (unique) ที่ไม่ซ้ำกันกับหมายเลขแอดเดรสบนเครื่องคอมพิวเตอร์ที่อยู่ใน VLAN อื่น” กล่าวสรุปได้อีกแบบหนึ่งว่า ในการออกแบบและวางแผนแอดเรสให้กับเน็ตเวิร์กที่ใช้ VLAN นั้น เราจะต้องออกแบบให้ 1 VLAN ได้รับการจัดสรร 1 ซับเน็ตแอดเดรสเฉพาะตัวไป ถ้ามีอยู่ 10 VLAN ซับเน็ตแอดเดรสที่ต้องจัดสรรให้ก็ควรเท่ากับ 10 ซับเน็ตแอดเดรส ( 1 VLAN ต่อ 1 ซับเน็ตแอดเดรส )
ซิสโก้แนะนำหลักการปฏิบัติที่ดีว่า ภายใน 1 VLAN ควรประกอบด้วยเฉพาะ 1 ซับเน็ตแอดเดรสเท่านั้น แต่ในการใช้งานจริงบางครั้งก็เป็นไปได้เหมือนกันที่ภายใน 1 VLAN จะได้รับการจัดสรรให้มีซับเน็ตแอดเดรสมากว่า 1 ซับเน็ตแอดเดรส ตัวอย่างเช่น ในครั้งแรกของการอิมพลีเมนต์เน็ตเวิร์ก เราออกแบบให้ 1 VLAN ใช้งานซับเน็ตแอดเดรสในคลาส C ดังที่ได้ทราบไปแล้วว่าแอดเดรสในคลาส C นั้นสามารถรองรับการกำหนดหมายเลข IP Address ได้สูงสุดเท่ากับ 254 IP Address แต่บังเอิญในอนาคต มีความจำเป็นต้องเพิ่มขยายเครื่องคอมพิวเตอร์ใน VLAN นั้นๆเข้าไปอีกมากกว่า 254 เครื่อง กรณีนี้เราสามารถเพิ่มหมายเลขซับเน็ตแอดเดรสเข้าไปใหม่ใน VLAN เดิมได้ กลายเป็น 1 VLAN ประกอบด้วยซับเน็ตแอดเดรสมากกว่า 1 ซับเน็ตแอดเดรส
สำหรับกรณีเช่นนี้ ถึงแม้เครื่องจำได้รับการกำหนดซับเน็ตแอดเดรสที่ต่างกัน แต่บรอดคาสต์เฟรมก็ยังมีโอกาสที่จะถูกส่งไปยังเครื่องที่อยู่ต่างซับเน็ตกันได้ ทั้งนี้เพราะเครื่องทั้งหมดเป็นสมาชิกของ VLAN เดียวกันกล่าวอีกอย่างก็คือ ถึงแม้จะแบ่งแยกเป็นซับเน็ตใหม่ได้ก็จริง แต่บรอดคาตส์ทราฟฟิกจากซับเน็ตหนึ่งก็สามารถถูกแพร่กระจายไปถึงอีกซับเน็ตหนึ่งได้ ทั้งนี้เพราะซับเน็ตทั้งสองอาศัยอยู่ภายใต้ VLAN เดียวกัน
สมัครสมาชิก:
บทความ (Atom)