VLAN คืออะไร.. ?
VLAN (Virtual Area Network) เป็นการจัดแยกการเชื่อมต่อเครือข่ายในรูปแบบที่เรียกว่า โดเมนส์ ซึ่ง
จุดประสงค์ของการแยกออกเป็นโดเมนส์นี้ ก็เพื่อให้เครื่องคอมพิวเตอร์ที่อยู่ต่างโดเมนส์ไม่สามารถสื่อสารกัน
ได้ทั้งนี้เพื่อความปลอดภัยของเครือข่าย รวมทั้งสามารถเพิ่มประสิทธิภาพการทำงานของเครือข่ายอีกด้วย ใน
หนึ่งเครือข่ายอาจประกอบด้วย Switching Hub หลาย ๆ ตัว และใน Switching Hub หนึ่งตัวอาจประกอบ
ด้วย VLAN หลาย ๆ โดเมนส์ หรือหลาย VLAN ก็เป็นได้ การแบ่ง VLAN จะทำให้เครื่องคอมพิวเตอร์แม้จะ
เชื่อมต่อกันใน Switches Hub เดียวกัน แต่อยู่ต่าง VLAN กัน ไม่สามารถสื่อสารกันได้ รวมทั้งไม่สามารถ
มองเห็นกันได้ด้วยซ้ำไป (รูปที่ 1) และที่แน่นอน หนึ่ง VLAN สามารถกระจายไปตาม Switches Hub ต่าง ๆ
ได้ เช่นกัน ภายใต้ Switches Hub ของ Cisco 1 ตัว สามารถติดตั้ง VLAN ได้มากถึง 64 VLAN และ
ทั้งระบบสามารถมี VLAN ได้มากถึง 1024 VLA
รูปที่ 1 แสดงการแบ่ง VLAN ออกเป็น 2 ชุด ภายใน Switches เดียว
ข้อดีของการใช้งาน VLAN
• สามารถป้องกันปัญหา Broadcast มิให้ฟุ้งกระจายไปทั่วทั้งเครือข่าย
• สามารถจำกัด Traffic ให้อยู่ ในบริเวณที่สามารถควบคุมได้
• เพื่อการรักษาความปลอดภัยที่ดี เนื่องจากการแบ่ง VLAN จำให้ผู้ที่อยู่ต่าง VLAN กันจะไม่สามารถ
มองเห็นกันได้ เมื่อมองเห็นกันไม่ได้ ก็ไม่สามารถโจมตีกันได้
• สามารถกำหนดขอบเขตการแพร่กระจายข้อมูลเฉพาะกลุ่มได้ (Multicast)
• สามารถเพิ่มประสิทธิภาพการทำงานของเครือข่าย เนื่องจากสามารถลดปัญหาของ Broadcast
จากสาเหตุต่างๆ ลงได้
รูปที่ 2 แสดงลักษณะการแบ่ง VLAN ออกเป็น 2 ส่วนได้แก่ VLAN แผนกบัญชีและ VLAN แผนกบริหารจัดการ
ความแตกต่างระหว่าง Switched LAN กับ VLAN
• VLAN ทำงานบน Layer 2 และ 3 ของ OSI Model
• การเชื่อมต่อกันระหว่าง VLAN สามารถทำได้โดยการใช้เราเตอร์
• VLAN สามารถควบคุมการเกิด Broadcast บนเครือข่าย ขณะที่ Switches Hub
แบบ Layer 2 ไม่สามารถทำได้
• ผู้ดูแลเครือข่ายเท่านั้น ที่จะเป็นผู้กำหนด การทำงานของ VLAN
• VLAN สามารถป้องกันความปลอดภัยของข้อมูลได้ดีกว่าสวิตซ์ทั่วไป
ชนิดของ VLAN
VLAN มีอยู่หลายแบบ ทั้งนี้ขึ้นอยู่กับประเภทของสวิตซ์ ลักษณะของงาน และการจัดคอนฟิกของเครือข่าย
โดยสามารถแบ่งออกเป็นแบบต่าง ๆ ดังนี้
Port-Based VLAN
Port-Based VLAN เป็น การจัดแบ่ง VLAN โดยอาศัยพอร์ตและหมายเลขพอร์ตเป็นหลัก
โดยเพียงแต่กำหนดว่า ในหนึ่ง Switches Hub มีกี่ VLAN มีชื่ออะไรบ้าง และต้องการให้พอร์ตใด
หมายเลขใด เป็นสมาชิกของ VLAN ใดบ้าง
รูปที่ 3 แสดงลักษณะการแบ่ง VLAN โดยอาศัยหมายเลขพอร์ตเป็น
จากรูปที่ 3 แสดงให้เห็นว่า VLAN 1 ประกอบด้วย เครื่องคอมพิวเตอร์รวมทั้งเครื่องเซิร์ฟเวอร์ที่เชื่อมต่อ
กับพอร์ตหมายเลข 1-4 และ VLAN 2 ประกอบด้วย คอมพิวเตอร์ ที่เชื่อมต่อกับพอร์ตหมายเลข 9-12 ส่วน
VLAN 3 ประกอบด้วยคอมพิวเตอร์ที่เชื่อมต่อกับพอร์ตหมายเลข 5-8 เป็นต้น ขั้นตอนในการจัดตั้ง
Port-Based VLAN สามารถกระทำได้โดยง่าย โดยมีขั้นตอนคร่าว ๆ ดัง
• กำหนด VTP Domain ให้เรียบร้อย (สำหรับสวิตซ์ของ Cisco)
• กำหนดชื่อของ VLAN รวมทั้งเลขหมายของ VLAN
• กำหนดหมายเลขพอร์ตให้กับ VLAN แต่ละชุดที่ถูกสร้าง
ข้อเสียของ Port-Based VLAN ได้แก่การที่ สามารถเปลี่ยนแปลงได้ง่าย เนื่องจากผู้ใช้งานสามารถ
เปลี่ยนแปลงคอนฟิกของ VLAN ได้ ก็เพียงแต่ย้ายสายแลนจากหมายเลขพอร์ตหนึ่งไปยังพอร์ตอื่น ๆ ได้ง่าย
ดังนั้น การโยกย้าย VLAN ก็เพียงแต่ย้ายสายแลนเท่านั้น
MAC Address-Based VLAN
MAC Address-Based VLAN เป็นการจัดตั้ง VLAN ที่อาศัย MAC Address เป็นหลัก ซึ่งแอดเดรส
นี้เป็นแอดเดรสที่มาจากการ์ดแลนของเครื่องคอมพิวเตอร์แต่ละเครื่อง การแบ่ง VLAN ด้วยการอาศัย
MAC Address นี้ง่ายต่อการจัดคอนฟิกมาก เนื่องจากท่านไม่ต้องกำหนดเลขหมายของพอร์ต ไม่ต้องสนใจว่า
เครื่องคอมพิวเตอร์ของท่านติดตั้งอยู่บนพอร์ตหมายเลขใด และไม่ต้องกลัวว่า จะมีใครย้ายเพื่อเปลี่ยน VLAN
เนื่องจาก ไม่ว่าท่านจะย้ายไปอยู่ที่ใด บนสวิตซ์ตัวใด ตราบใดที่กำหนด MAC Address ประจำ VLAN แล้ว
ท่านจะเปลี่ยนแปลง VLAN เองได้ก็ต่อเมื่อเปลี่ยนการ์ดแลนเท่านั้น !
รูปที่ 4 แสดงลักษณะการเชื่อมต่อ VLAN แบบ MAC Address-Based
ข้อจำกัดของ MAC-Based VLAN
• พอร์ตที่จะเข้าร่วมใช้งานเป็น MAC-Based VLAN นั้นจะต้องไม่เป็น Static VLAN หมายความว่า
จะต้องไม่มีการกำหนดหมายเลขพอร์ตที่ตายตัวให้กับ VLAN ต่าง ๆ
• MAC Based VLAN ถูกออกแบบมาให้สามารถสนับสนุน 1 ไคลเอนต์ต่อหนึ่งพอร์ต (ทางกายภาพ
สวิตซ์บางรุ่น ) ขณะที่บางสวิตซ์สามารถสนับสนุนได้หลายยูสเซอร์ต่อ 1 พอร์ต
IP หรือ Subnet-Based VLAN
IP หรือ Subnet-Based VLAN บางครั้งถูกเรียกว่า Layer-3 Based VLAN เป็น VLAN ที่ถูกสร้าง
ขึ้นโดยอาศัยข้อมูลข่าวสารในระดับ Network Layer โดยสวิตซ์จะตรวจสอบข้อมูลไอพีที่ Header ของ
แพ้กเกจ ปกติ IP หรือ Subnet-based VLAN จะถูกติดตั้งบนสวิตซ์แบบ Layer 3 เท่านั้น ขณะที่ชนิด
ของ VLAN ที่ได้กล่าวมาก่อนหน้านี้ทำงานบน Layer-2 Switches
รูปที่ 5 แสดงการใช้ Layer 3 Switches เพื่อสร้าง VLAN จำนวน 3 ชุดขึ้น จะเห็นว่ามีการแบ่ง VLAN
ออกเป็นส่วน ๆ โดยใช้ เลขหมายไอพีที่อยู่ต่างเครือข่ายกัน มากำหนด VLAN ที่ต่างกันขึ้น ข้อดีของการจัด
VLAN แบบนี้ มีอยู่ 3 แบบ ได้แก่
• ความยืดหยุ่น เนื่องจากท่านสามารถเปลี่ยนแปลง VLAN โดยการเปลี่ยน IP เท่านั้น ผู้ใช้งานสามารถ
โยกย้ายเครื่องออกจากพอร์ต ได้โดยไม่ต้องจัดคอนฟิกแอดเดรสของเครือข่ายกันใหม่ให้กับ
คอมพิวเตอร์แต่ละเครื่อง เหมาะสำหรับเครือข่ายที่ใช้โปรโตคอล TCP/IP เป็นหลัก
• ให้การสนับสนุนเราติ้ง โดยสนับสนุนการเชื่อมต่อระหว่าง VLAN ที่ต่างกันได้การจัด คอนฟิกของ
VLAN แบบนี้ สามารถเกิดขึ้นได้โดยอัตโนมัติ ดังนั้นค่าใช้จ่ายในการที่จะดูแลการทำงานของ
VLAN ประเภทนี้ จะถูกกว่า MAC Address-Based มาก
รูปที่ 5 แสดงการจัดตั้ง VLAN แบบ IP Subnet-Based
ข้อเสียของ IP หรือ Subnet-Based VLAN
ข้อเสียมีเพียงประการเดียว ได้แก่ การจัดตั้ง IP Address ที่อาจเกิดความสับสน รวมทั้งปัญหาของสวิตซ์
บางรุ่นที่อาจสนับสนุนหลายไอพีแอดเดรสบนพอร์ตเดียวกัน
Protocol-Based VLAN
รูปแบบของ VLAN แบบนี้ จะช่วยให้ท่านสามารถจัดสร้าง VLAN ได้อย่างง่ายดาย อย่างชนิดที่ไม่มีมา
ก่อน เนื่องจากว่า การกำหนด VLAN อาศัยโปรโตคอลการทำงานในระดับเน็ตเวิร์กซึ่งได้แก่ IP IPX หรือ
AppleTalk (รูปที่ 6)
รูปที่ 6 แสดงลักษณะการจัดแบ่ง VLAN แบบ Protocol-Based
Protocol-Based VLAN ถูกนำมาใช้บ่อยในสถานการณ์ที่เครือข่ายประกอบด้วยหลาย Segment หรือติดตั้ง
สวิตซ์หลาย ๆ ตัว รวมทั้งเครื่องคอมพิวเตอร์ต่างๆ มีการใช้โปรโตคอลที่แตกต่างกัน รวมทั้งเครื่องคอมพิวเตอร์เครื่อง
หนึ่งอาจติดตั้งใช้งานหลายโปรโตคอล เช่น มีการใช้งาน IP กับ NetBIOS ในเครื่องเดียวกัน
ข้อดีของการใช้ Protocol-Based VLAN
ได้แก่ความยืดหยุ่น เนื่องจากว่าท่านสามารถกำหนดว่า จะให้ใครเป็นสมาชิกของ VLAN ใด ก็แล้วแต่ว่าใครใช้
โปรโตคอลอะไร การใช้ VLAN แบบนี้มีประโยชน์มาก เนื่องจากเครื่องคอมพิวเตอร์ หรือเครื่องเซิร์ฟเวอร์สามารถ
ติดตั้งไว้ที่ใด หรือสวิตซ์ตัวใดก็ได้ ตราบใดที่ยังเชื่อมต่อกันอยู่ ผู้ที่ใช้โปรโตคอลเดียวกัน จะสามารถสื่อสารถึงกันได้
Application-Based VLAN
ท่านสามารถติดตั้ง VLAN โดยอาศัยลักษณะหรือชนิดของแอพพลิเคชันได้อีกด้วย แต่เป็นที่น่าเสียดายที่สวิตซ์ที่ให้
การสนับสนุน การทำงานในลักษณะนี้ไม่ค่อยจะได้เห็นกันบ่อยนัก อีกทั้งมีราคาแพงมาก
จุดประสงค์ของการแยก VLAN โดยอาศัยแอพพลิเคชันนี้ เป็นการเอื้อประโยชน์ให้กับแอพพลิเคชันแต่ละตัวที่
สามารถใช้แบนด์วิดธ์ได้อย่างเต็มประสิทธิภาพ อีกทั้งสามารถแยกประเภทของงานออกได้อย่างชัดเจน Application-
Based VLAN จึงมีประโยชน์สำหรับหน่วยงานที่ต้องใช้งานที่จำเพาะเจาะจงเฉพาะผู้ใช้กลุ่มต่าง ๆ
รูปที่ 7 แสดงลักษณะของ VLAN ที่อาศัยแอพพลิเคชันที่ต่างกันเป็นหลัก
การเชื่อมต่อ VLAN เข้าด้วยกัน
ไม่เพียงท่านจะสามารถติดตั้ง VLAN ได้ในสวิตซ์ตัวเดียวเท่านั้น แต่ยังสามารถติดตั้ง VLAN ไว้ตาม
สวิตซ์ต่าง ๆ ได้ และสามารถเชื่อมโยงสวิตซ์ต่าง ๆ เข้าด้วยกัน
รูปที่ 8 แสดงลักษณะการเชื่อมต่อ VLAN ประเภท IP หรือ Subnet-Based ด้วย เราเตอร์
นอกจากนี้ หากท่านต้องการเชื่อมต่อ VLAN ต่าง ๆ เข้าด้วยกัน ให้สามารถมองเห็นกันและสื่อสารกันได้ มี
เพียงวิธีเดียวคือการติดตั้งเราเตอร์ เพื่อเชื่อมต่อระหว่าง VLAN เข้าด้วยกัน รูปแบบการเชื่อมต่อ เป็นไปตาม
รูปที่ 8 ซึ่งเหมาะสำหรับการเชื่อมต่อ VLAN ที่อยู่ต่างสวิตซ์เข้าด้วยกัน แต่ถ้าหากเป็นการเชื่อมต่อ VLAN
ต่าง ๆ ที่ติดตั้งอยู่ในสวิตซ์เดียวกัน ท่านสามารถใช้สวิตซ์ตัวเดียว และเชื่อมต่อแบบ Single Edge หรือ
One-arm Router ดูรูปที่ 9
รูปที่ 9 แสดงการเชื่อมต่อ VLAN แบบ One-arm หรือ Single Edge Router
