and

1. VLAN and Trunking 6

2. Broadcast Domain • แบ่ง VLAN ตามพอร์ท Access สมาชิก • การใช้ลิงค์ Trunk แชร์ข้อมูลหลาย VLAN ระหว่างสวิตช์ 6-1

3. Flood! Destination MAC (Broadcast) Payload FF-FF-FF-FF-FF-FF ARP Request Fa0/1 Fa0/3 Fa0/2 • บริเวณที่บรอดคาสต์เฟรม (FF-FF-FF-FF-FF-FF) ส่งไปทั่วถึง • เช่นที่อยู่ปลายทางกายภาพของเฟรม ARP request • ยิ่งกว้าง Broadcast Frame ยิ่งกระจายมาก Bandwidth รวมถูกใช้เปลือง • Broadcast Domain = LAN = VLAN = Subnet คือ เป็นหน่วยของเครือข่ายทั้งสิ้น 6-2

4. การแบ่งเครือข่ายแลนเสมือนการแบ่งเครือข่ายแลนเสมือน VLAN1 • ฟีเจอร์ของ Switch ที่แบ่ง Broadcast Domain ได้ด้วยตนเอง (ทำงานบน Layer2 ไม่ต้องอาศัยอุปกรณ์ Layer3 มาแบ่งให้) • โดยการสร้าง VLAN แล้วนำอินเตอร์เฟสของตนแบ่งเข้าเป็นสมาชิกแต่ละ VLAN แบ่ง Broadcast Domain ทางลอจิคัล VLAN10 VLAN20 6-3

5. การแบ่งเครือข่ายแลนเสมือนการแบ่งเครือข่ายแลนเสมือน • ประโยชน์ของการแบ่ง VLAN • ใช้แบนด์วิธคุ้มค่าขึ้นโดยลดความหนาแน่นของ Broadcast Frame • เพิ่มความปลอดภัย โดยจำกัดการเข้าถึงข้าม VLAN ด้วยฟีเจอร์ Layer3 เช่น ACL • จำกัดความเสียหายแค่ VLAN เดียว เช่น ผลของ Layer2 Loop หรือแอพพลิเคชั่นที่ใช้การสื่อสารแบบ Broadcast มีปัญหา 6-4

6. SW3 B SW2 Access Port Trunk Port A SW1 • เพื่อใช้ VLAN ร่วมกันระหว่าง Switch คนละตัว เช่น สำนักงานคนละชั้น หรือระหว่างอาคาร • ทำให้ Switch แต่ละตัวใช้ VLAN ร่วมกันได้ โดยทำ Trunkingซึ่งเป็นการแบ่งพอร์ตของ Switch เป็น 2 แบบ: พอร์ท Access และพอร์ท Trunk VLAN 10 VLAN 20 VLAN 30 Dst.MAC Src. MAC 08 00 Payload CRC 32 bit EtherT. 6 B 6 B 2 B 46 – 1,500 B 4 B SW1 ติด VLAN Tag เพื่อส่งไปยังเครื่อง B ใน VLAN เดียวกัน ผ่าน Trunk Port --> SW2 Dst.MAC Src. MAC 81 00 VLAN 10 Tagged 08 00 Payload CRC 32 bit EtherT. EtherT. 6 B 6 B 2 B 2 B 2 B 46 – 1,500 B 4 B 6-5

7. SW3 SW2 Trunk Port SW1 Access Port • พอร์ท Access • เชื่อมต่อ: Switch กับเครื่องโฮส • ชนิดเฟรม: เฟรมข้อมูลธรรมดา • EtherType: ขึ้นกับ Payload เช่น 0x0800 • พอร์ท Trunk • เชื่อมต่อ: Switch ด้วยกัน หรืออุปกรณ์ที่อ่าน VLAN Tag ได้ • ชนิดเฟรม: เฟรมติดฉลาก (Tagged) เลข VLAN • EtherType: 0x8100 แล้วตามด้วย Tag อีก 2 ไบต์ (โปรโตคอล 802.1Q)+ EtherTypeของ Payload ต่อ SW1 VLAN 10 VLAN 20 VLAN 30 6-6

8. SW3 SW2 Trunk Port SW1 • เป็น VLAN เลขที่ตกลงกันกับพอร์ท Trunk ทั้งสองฝั่งว่า ไม่ต้องติด VLAN Tag • มักใช้กับการส่งเฟรมที่ใช้บริหารจัดการเครือข่าย • ใช้เป็นหลักในการรักษาความปลอดภัยว่า ควรเปลี่ยนค่าเลข VLAN ที่เป็น Native จากเลขดีฟอลท์(VLAN 1) เป็น VLAN อื่น 6-7

9. คอยเจรจาให้พอร์ทสวิตช์ฝั่งตรงข้ามตั้งค่าเป็น Trunk Port ด้วย เพื่อความสะดวกในการตั้งค่า (ไม่ต้องไปเสียเวลาตั้งค่าบนสวิตช์ฝั่งตรงข้ามเพิ่มอีก) • โดยกำหนดสถานะ DTP ของพอร์ทสวิตช์ แบ่งเป็น 2 กลุ่ม คือ • กลุ่มสถานะตายตัว เกิดจากการตั้งค่าบังคับพอร์ทนั้นให้เป็น Trunk หรือ Access • สถานะ on: ตั้งค่าพอร์ทนั้นเป็น Trunk เอง • สถานะ off: ตั้งค่าพอร์ทนั้นเป็น Access เอง • กลุ่มสถานะที่เปลี่ยนได้ (Dynamic) เป็นสถานะที่รอการเจรจาจากพอร์ทฝั่งตรงข้าม • สถานะ auto(ค่าดีฟอลท์): เตรียมตัวจะเป็น Trunk เมื่อฝั่งตรงข้ามตั้งค่าเป็นพอร์ท Trunk (on) ขึ้นมา • สถานะ desirable: คือนอกจากจะกลายเป็น Trunk เมื่อฝั่งตรงข้าม on แล้ว ยังกลายเป็น Trunk พร้อมกันกับฝั่งตรงข้ามได้อีก ถ้าฝั่งตรงข้ามตั้งโหมดเป็น desirable เหมือนกัน หรือเป็นโหมด auto 6-8

10. Trunk Access On auto auto auto (Trunk) (Default) (Default) (Default) Access Trunk Off auto (Access) Access Desirable auto (Default) Trunk Off Desirable (Access) Desirable Desirable 6-9

11. DTP จะเจรจาได้ สวิตช์ทั้งสอง “ต้องอยู่บน VTP Domain เดียวกันเท่านั้น” • เพื่อหลีกเลี่ยงปัญหาคนละ VTP Domain จะต้องสร้าง Trunk แบบ Manual (ตั้งค่า Nonegotiate) • ตามหลักความปลอดภัย ต้องปิด DTP บนพอร์ตที่ไม่ต้องการให้สร้าง Trunk ภายหลัง (ด้วยการสั่ง Nonegotiateเช่นกัน) เพื่อป้องกันการโจมตีแบบ VLAN Hopping 6-10