เวบ/อินเตอร์เน็ตเทคโนโลยี ระบบปฏฺบัติการและซอฟท์แวร์ ซอร์สโค๊ด/โอเพนซอร์ส เทคโนโลยีฐานข้อมูล ระบบเครือข่ายและความมั่นคง เอ็มไอเอส/อีบิสสิเนส อื่น ๆ เกี่ยวกับไอ.ที. อื่น ๆ ไม่เกี่ยวกับไอ.ที.

ระบบเครือข่ายและความมั่นคง

ทำความรู้จักกับ VLAN/Virtual LAN

เทคโนโลยีที่ใช้ในการจำลองสร้างเครือข่าย
อัปเดท ( 29 สิงหาคม 2546 ) , แสดง (44,555) , ความคิดเห็น (0) , พิมพ์  
 
ระบบเครือข่ายและความมั่นคง
Internet 2 : อนาคต Internet จะเป็นอย่างไร Internet 2 : อนาคต Internet จะเป็นอย่างไร
เลือกเวบโฮสติ้ง (web hosting) แบบไหนดี ? การเลือก เวบโฮสติ้ง (web hosting) มีความสำคัญเอามากๆ
การใช้โปรแกรม NETSTAT NETSTAT เป็นคำสั่งที่ใช้ตรวจสอบ Network เกี่ยวกับการเชื่อมต่อ Port ในเครื่องเรากับเครื่องอื่นใน Network
คู่มือการใช้บริการ Time Server [ฉบับปรับปรุง] การเทียบเวลาด้วย Network Time Protocol ให้สอดคล้องกับ พรบ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
การติดตั้ง DHCP Server บน Windows Server 2003 การกำหนดหมายเลขไอพีแอดเดรสให้กับเครื่องไคลเอนต์บนระบบเครือข่ายนั้น เป็นหน้าที่หนึ่งของแอดมิน
แนะนำ Free AntiVirus Download link Free AntiVirus AVG,Avast,Avira AntiVir,Comodo,BitDefender,ClamWin,PC Tools AntiVirus
คำแนะนำในการเลือกใช้ รหัสผ่าน (Passwords) เริ่มต้นเช้าวันทำงานนั้น ผมเชื่อว่าสิ่งที่เราต้องทำเป็นอันดับแรกๆ คือเปิดเครื่องคอมพิวเตอร์หรือโน้ตบุ๊ค
Internet Protocol Version 6 (IPv6) Internet Protocol รุ่นใหม่ขึ้น นั่นก็คือ Internet Protocol รุ่นที่ 6 (IPv6) เพื่อแก้ปัญหา Internet Protocol รุ่นที่ 4
มาใช้ SmoothWall Express กันเถอะครับ ระบบอินเตอร์เน็ตเกทเวย์ที่ควรมีไว้ใช้
ความรู้เบื้องต้นเกี่ยวกับเรื่องพอร์ท(Port Concept) port port port port และ port

VLAN ย่อมาจาก Virtual LAN เป็นเทคโนโลยีที่ใช้ในการจำลองสร้างเครือข่าย LAN แต่ไม่ขึ้นอยู่กับการต่อทางกายภาพเช่น สวิตช์หนึ่งตัวสามารถใช้จำลองเครือข่าย LAN ได้ห้าเครือข่าย หรือสามารถใช้สวิตช์สามตัวจำลองเครือข่าย LAN เพียงหนึ่งเครือข่าย เป็นต้น ในการสร้าง VLAN โดยใช้อุปกรณ์เครือข่ายหลายตัว จะมีพอร์ตที่ทำหน้าที่เชื่อมต่อระหว่างอุปกรณ์เครือข่ายแต่ละตัว เรียก Trunk port ซึ่งเสมือนมีท่อเชื่อม หรือ Trunk เป็นตัวเชื่อมด้วย เนื่องจาก VLAN เป็น LAN แบบจำลอง ถึงแม้ว่าจะต่อทางกายภาพอยู่บนอุปกรณ์เครือข่ายตัวเดียวกัน แต่การติดต่อกันนั้นจำเป็นต้องใช้อุปกรณ์ที่มีความสามารถในการค้นหาเส้นทาง เช่น เราเตอร์ หรือสวิตช์เลเยอร์สาม

ลักษณะพิเศษของ VLAN ทั่วๆ ไปคือ
1. VLAN แต่ละเครือข่ายที่ติดต่อกันนั้น จะมีลักษณะเหมือนกับต่อแยกกันด้วยบริดจ์
2. VLAN สามารถต่อข้ามสวิตช์หลายตัวได้
3. ท่อเชื่อม (Trunks) ต่างๆ จะรองรับทราฟฟิกที่คับคั่งของแต่ละ VLAN ได้

ชนิดของ VLAN
1. Layer 1 VLAN : Membership by ports
    ในการแบ่ง VLAN จะใช้พอร์ตบอกว่าเป็นของ VLAN ใด เช่นสมมุติว่าในสวิตช์ที่มี 4 พอร์ต กำหนดให้ พอร์ต 1, 2 และ 4 เป็นของ VLAN เบอร์ 1 และพอร์ตที่ 3 เป็นของ VLAN เบอร์ 2 ดังรูปที่ 1

    Port

    VLAN

    1

    1

    2

    1

    3

    2

    4

    1

รูปที่ 1 แสดงการกำหนดพอร์ตให้กับ VLAN

2. Layer 2 VLAN : Membership by MAC Address
   ใช้ MAC Address ในการแบ่ง VLAN โดยให้สวิตช์ตรวจหา MAC Address จากแต่ละ VLAN ดูรูปที่ 2

      MAC Address

      VLAN

      1212354145121

      1

      2389234873743

      2

      3045834758445

      2

      5483573475843

      1

     

รูปที่ 2 แสดงการกำหนด MAC Address ให้กับ VLAN ต่างๆ

3. Layer 2 VLAN : Membership by Protocol types
    แบ่ง VLAN โดยใช้ชนิดของ protocol ที่ปรากฎอยู่ในส่วนของ Layer 2 Header ดูรูปที่ 3

    Protocol

    VLAN

    IP

    1

    IPX

    2

รูปที่ 3 แสดงการแบ่ง VLAN โดยใช้ชนิดของ protocol กำหนด


4. Layer 3 VLAN : Membership by IP subnet Address
    แบ่ง VLAN โดยใช้ Layer 3 Header นั่นก็คือใช้ IP Subnet เป็นตัวแบ่ง

IP Subnet

VLAN

23.2.24

1

26.21.35

2

รูปที่ 4 แสดงการแบ่ง VLAN โดยใช้ IP Subnet

5. Higher Layer VLAN's
   VLAN ทำได้โดยใช้โปรแกรมประยุกต์หรือ service แบ่ง VLAN เช่นการใช้โปรแกรม FTP สามารถใช้ได้ใน VLAN 1 เท่านั้น และถ้าจะใช้ Telnet สามารถเรียกใช้ได้ใน VLAN 2 เท่านั้น เป็นต้น

ทำไมต้องใช้ VLAN
  
 

1. เพิ่มประสิทธิภาพของเครือข่าย ในระบบเครือข่ายทั่วไปจะมีการส่งข้อมูล Broadcast จำนวนมาก ทำให้เกิดความคับคั่ง ( Congestion ) และ VLAN มีความสามารถช่วยเพิ่มประสิทธิภาพของเครือข่ายได้เนื่องจาก VLAN จะจำกัดให้ส่งข้อมูล Broadcast ไปยังผู้ที่อยู่ใน VLAN เดียวกันเท่านั้น

2. ง่ายต่อการบริหารการใช้งาน VLAN อำนวยความสะดวกในการบริหารจัดการโครงสร้างของระบบเครือข่ายให้ง่าย มีความยืดหยุ่น และเสียค่าใช้จ่ายน้อย โดยเพียงเปลี่ยนโครงสร้างทางตรรกะ( Logical ) เท่านั้น ไม่จำเป็นต้องเปลี่ยนโครงสร้างทางกายภาพ กล่าวคือ ถ้าต้องการเปลี่ยนโครงสร้างของ VLAN ก็ทำโดยการคอนฟิกที่อุปกรณ์เครือข่ายใหม่ ไม่จำเป็นเปลี่ยนรูปแบบทางกายภาพของการเชื่อมต่อเครือข่ายที่มีอยู่เดิม

3. เพิ่มการรักษาความปลอดภัยมากขึ้น เนื่องจากการติดต่อระหว่างอุปกรณ์เครือข่ายจะสามารถทำได้ภายใน VLAN เดียวกันเท่านั้น ถ้าต้องการที่จะติดต่อข้าม VLAN ต้องติดต่อผ่านอุปกรณ์ค้นหาเส้นทางหรือสวิตช์เลเยอร์สาม

ข้อเสียและปัญหาที่พบของการใช้ VLAN

1. ถ้าเป็นการแบ่ง VLAN แบบ port-based นั้นจะมีข้อเสียเมื่อมีการเปลี่ยนพอร์ตนั้นอาจจะต้องทำการคอนฟิก VLAN ใหม่
2. ถ้าเป็นการแบ่ง VLAN แบบ MAC-based นั้นจะต้องให้ค่าเริ่มต้นของ VLAN membership ก่อน และปัญหาที่เกิดขึ้นคือในระบบเครือข่ายที่ใหญ่มาก จำนวนเครื่องนับพันเครื่อง นอกจากนี้ถ้ามีการใช้เครื่อง Notebook ด้วย ซึ่งก็จะมีค่า MAC และเมื่อทำการเปลี่ยนพอร์ตที่ต่อก็ต้องทำการคอนฟิก VLAN ใหม่

ช่องโหว่ของการใช้ VLAN

   
โดยปกติแล้วจะไม่สามารถส่งข้อมูลข้าม VLAN ได้ถ้าไม่ใช้ เราเตอร์ สวิตช์เลเยอร์สาม หรือตัวกลางที่ช่วยค้นหาเส้นทางอื่นๆ แต่มีช่องโหว่ที่ทำให้ผู้ใช้สามารถส่งข้อมูลข้าม VLAN ได้โดยไม่ต้องอาศัยตัวกลาง เรียกว่า " การเบรค VLAN " ซึ่งช่องโหว่นี้เกิดจาก Trunking protocol ของสวิตช์บางรุ่น และวิธีการทดสอบคือทำการส่งข้อมูลตัวอย่างจาก VLAN หนึ่งไปยัง VLAN อื่น ที่อยู่บนสวิตช์คนละตัว และข้อมูลที่ส่งนั้นให้ทำการสร้าง ethernet Frame ที่มี Tag 802.1Q และเปลี่ยนค่าของหมายเลข VLAN ให้เป็นค่าของหมายเลข VLAN ปลายทางที่ต้องการเบรค เฟรมที่ถูกสร้างขึ้นใหม่นั้นจะมีลักษณะดังรูปที่ 6 และค่าของ Tag 802.1Q จะมีรูปแบบ "81 00 0n nn" โดยที่ nnn คือหมายเลขของ VLAN ซึ่งผลจากการทดสอบดังกล่างจะสามารถทำการเบรค VLAN ได้

สถานการณ์ต่อไปนี้จะทำให้เกิดช่องโหว่ของ VLAN

    1. เมื่อผู้บุกรุกสามารถที่จะเข้าถึงพอร์ตในสวิตช์ที่เป็น VLAN เดียวกันกับ VLAN ของ Trunk port
    2. เครื่องเป้าหมายอยู่บนสวิตช์ต่างกันแต่มีกลุ่ม trunk เดียวกัน
    3. ผู้บุกรุกทราบถึง MAC address ของเครื่องเป้าหมาย
    4. Layer 3 device สามารถสร้าง Connection จาก VLAN เป้าหมายกลับไปยัง VLAN ที่เป็นต้นทางได้

สรุป

เนื่องจากช่องโหว่ที่พบนั้นเป็นช่องโหว่ที่อาจจะไม่สามารถจะป้องกันได้เพราะเป็นช่องโหว่ที่เกิดจากทางผู้พัฒนามาตรฐานและผู้ผลิตอุปกรณ์เครือข่าย ฉะนั้นขอแนะนำว่า ไม่ควรใช้ VLAN เพื่อจุดประสงค์ในการรักษาความปลอดภัยของข้อมูลที่ส่งผ่าน เพียงแต่คุณสมบัติที่ดีของ VLAN นั้นก็ทำให้เป็นทางเลือกอีกทางที่น่าใช้ คุณสมบัติดังกล่าวเช่นสามารถทำการแบ่งเครือข่ายง่าย ลดการ broadcast และ ลดความคับคั่ง ( Collision ) เป็นต้น
แต่ถ้าจำเป็นต้องใช้ VLAN นั้นให้พยายามเลี่ยงการใช้สวิตช์หลายตัว หรือกล่าวอีกนัยหนึ่งคือไม่ควรที่จะใช้ Trunk port



เขียนโดย : n/a

ความคิดเห็น/แนะนำ/ติชม/อื่นๆ เกี่ยวกับบทความนี้
ชื่อของคุณ  : *     อีเมล : *    
ความคิดเห็น : *    
      อีเมลล์จะไม่ถูกเปิดเผย (นโยบายข้อมูลส่วนบุคคล)

Copyright © 2002 - 2021 by www.NEXTPROJECT.net All rights reserved. Policy