05/04/60 VLAN and Trunking 6 Copyrights 2009-2011 by Ranet Co.,Ltd., All rights reserved
แบ่ง VLAN ตามพอร์ท Access สมาชิก Broadcast Domain แบ่ง VLAN ตามพอร์ท Access สมาชิก การใช้ลิงค์ Trunk แชร์ข้อมูลหลาย VLAN ระหว่างสวิตช์ 6-1
Flood! บริเวณที่บรอดคาสต์เฟรม (FF-FF-FF-FF-FF-FF) ส่งไปทั่วถึง Fa0/1 Fa0/2 Fa0/3 FF-FF-FF-FF-FF-FF Destination MAC (Broadcast) ARP Request Payload Flood! บริเวณที่บรอดคาสต์เฟรม (FF-FF-FF-FF-FF-FF) ส่งไปทั่วถึง เช่น ที่อยู่ปลายทางกายภาพของเฟรม ARP request ยิ่งกว้าง Broadcast Frame ยิ่งกระจายมาก Bandwidth รวมถูกใช้เปลือง Broadcast Domain = LAN = VLAN = Subnet คือ เป็นหน่วยของเครือข่ายทั้งสิ้น 6-2
การแบ่งเครือข่ายแลนเสมือน VLAN10 VLAN20 แบ่ง Broadcast Domain ทางลอจิคัล VLAN1 ฟีเจอร์ของ Switch ที่แบ่ง Broadcast Domain ได้ด้วยตนเอง (ทำงานบน Layer2 ไม่ต้องอาศัยอุปกรณ์ Layer3 มาแบ่งให้) โดยการสร้าง VLAN แล้วนำอินเตอร์เฟสของตนแบ่งเข้าเป็นสมาชิกแต่ละ VLAN 6-3
การแบ่งเครือข่ายแลนเสมือน ประโยชน์ของการแบ่ง VLAN ใช้แบนด์วิธคุ้มค่าขึ้น โดยลดความหนาแน่นของ Broadcast Frame เพิ่มความปลอดภัย โดยจำกัดการเข้าถึงข้าม VLAN ด้วยฟีเจอร์ Layer3 เช่น ACL จำกัดความเสียหายแค่ VLAN เดียว เช่น ผลของ Layer2 Loop หรือแอพพลิเคชั่นที่ใช้การสื่อสารแบบ Broadcast มีปัญหา 6-4
VLAN 10 VLAN 20 VLAN 30 Access Port Trunk Port SW1 SW2 SW3 Dst.MAC 6 B Src. MAC 08 00 2 B EtherT. Payload 46 – 1,500 B CRC 32 bit 4 B SW1 ติด VLAN Tag เพื่อส่งไปยังเครื่อง B ใน VLAN เดียวกัน ผ่าน Trunk Port --> SW2 A B 81 00 Tagged เพื่อใช้ VLAN ร่วมกันระหว่าง Switch คนละตัว เช่น สำนักงานคนละชั้น หรือระหว่างอาคาร ทำให้ Switch แต่ละตัวใช้ VLAN ร่วมกันได้ โดยทำ Trunking ซึ่งเป็นการแบ่งพอร์ตของ Switch เป็น 2 แบบ: พอร์ท Access และพอร์ท Trunk 6-5
พอร์ท Access พอร์ท Trunk เชื่อมต่อ: Switch กับเครื่องโฮส Trunk Port SW1 SW2 SW3 VLAN 10 VLAN 20 VLAN 30 Access Port SW1 พอร์ท Access เชื่อมต่อ: Switch กับเครื่องโฮส ชนิดเฟรม: เฟรมข้อมูลธรรมดา EtherType: ขึ้นกับ Payload เช่น 0x0800 พอร์ท Trunk เชื่อมต่อ: Switch ด้วยกัน หรืออุปกรณ์ที่อ่าน VLAN Tag ได้ ชนิดเฟรม: เฟรมติดฉลาก (Tagged) เลข VLAN EtherType: 0x8100 แล้วตามด้วย Tag อีก 2 ไบต์ (โปรโตคอล 802.1Q) + EtherType ของ Payload ต่อ 6-6
มักใช้กับการส่งเฟรมที่ใช้บริหารจัดการเครือข่าย Trunk Port SW1 SW2 SW3 เป็น VLAN เลขที่ตกลงกันกับพอร์ท Trunk ทั้งสองฝั่งว่า ไม่ต้องติด VLAN Tag มักใช้กับการส่งเฟรมที่ใช้บริหารจัดการเครือข่าย ใช้เป็นหลักในการรักษาความปลอดภัยว่า ควรเปลี่ยนค่าเลข VLAN ที่เป็น Native จากเลขดีฟอลท์ (VLAN 1) เป็น VLAN อื่น 6-7
โดยกำหนดสถานะ DTP ของพอร์ทสวิตช์ แบ่งเป็น 2 กลุ่ม คือ คอยเจรจาให้พอร์ทสวิตช์ฝั่งตรงข้ามตั้งค่าเป็น Trunk Port ด้วย เพื่อความสะดวกในการตั้งค่า (ไม่ต้องไปเสียเวลาตั้งค่าบนสวิตช์ฝั่งตรงข้ามเพิ่มอีก) โดยกำหนดสถานะ DTP ของพอร์ทสวิตช์ แบ่งเป็น 2 กลุ่ม คือ กลุ่มสถานะตายตัว เกิดจากการตั้งค่าบังคับพอร์ทนั้นให้เป็น Trunk หรือ Access สถานะ on: ตั้งค่าพอร์ทนั้นเป็น Trunk เอง สถานะ off: ตั้งค่าพอร์ทนั้นเป็น Access เอง กลุ่มสถานะที่เปลี่ยนได้ (Dynamic) เป็นสถานะที่รอการเจรจาจากพอร์ทฝั่งตรงข้าม สถานะ auto(ค่าดีฟอลท์): เตรียมตัวจะเป็น Trunk เมื่อฝั่งตรงข้ามตั้งค่าเป็นพอร์ท Trunk (on) ขึ้นมา สถานะ desirable: คือนอกจากจะกลายเป็น Trunk เมื่อฝั่งตรงข้าม on แล้ว ยังกลายเป็น Trunk พร้อมกันกับฝั่งตรงข้ามได้อีก ถ้าฝั่งตรงข้ามตั้งโหมดเป็น desirable เหมือนกัน หรือเป็นโหมด auto 6-8
Trunk Trunk Trunk Access On auto auto auto Access Off auto Desirable (Default) (Default) (Default) Access Trunk Off auto (Access) Desirable auto Access (Default) Trunk Off Desirable (Access) Desirable Desirable 6-9
DTP จะเจรจาได้ สวิตช์ทั้งสอง “ต้องอยู่บน VTP Domain เดียวกันเท่านั้น” เพื่อหลีกเลี่ยงปัญหาคนละ VTP Domain จะต้องสร้าง Trunk แบบ Manual (ตั้งค่า Nonegotiate) ตามหลักความปลอดภัย ต้องปิด DTP บนพอร์ตที่ไม่ต้องการให้สร้าง Trunk ภายหลัง (ด้วยการสั่ง Nonegotiate เช่นกัน) เพื่อป้องกันการโจมตีแบบ VLAN Hopping 6-10