មេរៀនទី១៦: Virtual LAN (VLAN)

មេរៀនទី១៦: Virtual LAN (VLAN)

បង្រៀនដោយលោកគ្រូ: ទាវ ឈុនណន
ព្រឹទ្ធបរុស មហាវិទ្យាល័យ វិទ្យាសាស្រ្ត និង បច្ចេកវិទ្យា
នៃ សាកលវិទ្យាល័យកម្ពុជា
Tel: 077778647-070778647-0977778647

16.1 លក្ខណ:ពិសេស VLAN VLAN ប្រើសម្រាប់កំណត់ ទម្រង់សណ្ឋានណែតវឺក និងសុវត្ថិភាព network security ហើយ បញ្ចូល បន្ថែមការគ្រប់គ្រង មានលទ្ធភាព រឹងមាំ របស់ណែតវឺក។
16.1.1 VLAN បញ្ចូលការចាត់ចែង network
ឧបមាថា ដែលយើងមានប្រព័ន្ធណែតវឺកដូចខាងក្រោម:
ipad airនៅក្នុងរូបភាពខាងលើ ឧបករណ៍ទាំងអស់ មាន broadcast domain ដូចគ្នាស្រេច នៅ ក្នុង។ នេះព្រោះថា Switch មិនចែក broadcast domain។ យើងអាច ចែក LAN នេះទៅ VLAN ជាច្រើន ដែលផ្តល់ គ្រប់ port switch ទៅ VLAN បានច្បាស់   គ្រប់ VLAN និង មាន broadcast domain ផ្ទាល់ខ្លួន ដូចបង្ហាញរូបខាងក្រោម:
ipad airចែក broadcast domain មួយនៅក្នង broadcast domain ជាច្រើន បញ្ចូលសណ្ឋាន ណែតវឺក។
16.1.2  VLAN បញ្ចូល សុវត្ថិភាពណែតវឺក network security គ្រប់ផ្នែក ក្នុងក្រុមហ៊ុន នឹងមាន LAN ផ្ទាល់ស្រេច ដូចបង្ហាញរូបខាង ក្រោម:
ipad airការបញ្ចូល សុវត្ថិភាពណែតវឺកពីព្រោះ:
1. ផ្សាយ packet បានផ្ញើពី ផ្នែកនិមួយៗ និងភ្ជាប់ជាច្រើនទៅ ផ្នែក ផ្សេង ទៀត។ ដូច ឧទាហរណ៍ រូបខាងលើ ប្រសិនបើកុំព្យូទ័រមួយ ក្នុង ផ្នែក “លក់” ផ្ញើផ្សាយ វានិងភ្ជាប់ ទៅកុំព្យូទ័រទាំងអស់ នៅក្នុងផ្នែក “លក់” LAN។ ទោះជាយ៉ាងណាក៍ដោយ វាមិនភ្ជាប់ កុំព្យូទ័រក្នុង “ហិរញ្ញវត្ថុ” LAN។
2. យើងអាចត្រួតពិនិត្យ អនុញ្ញាតចូលទៅប្រភពប្រព័ន្ធណែតវឺក ដូចក្នុងរូបខាងលើ យើង អាចដំឡើង ណែតវឺករបស់យើង ដើម្បី អនុញ្ញាតអោយចូល ក្នុងផ្នែក “លក់” LAN (10.0.0.0/24) ដើម្បីអនុញ្ញាត អោយចូល “20.0.0.2” ខណ:មិនអនុញ្ញាតចូលផ្នែក “ហិរញ្ញវត្ថុ” LAN (11.0.0.0/24) ដើម្បីអនុញ្ញាតចូល បានទៅលើ server ដូចគ្នា។

ដូចលោកអ្នកបានឃើញ នៅក្នុងរូបខាងលើ ដើម្បីបញ្ចូល ផ្នែកក្នុង LAN ផ្ទាល់ យើងត្រូវ ដំឡើងលើ Switch ដើម្បីអោយគ្រប់ផ្នែក ហើយ ដើម្បីភ្ជាប់ LAN គ្រប់ផ្នែកដើម្បី interface របស់ router ផ្ទាល់។ ដូច្នេះ ប្រសិនបើយើងមាន ១០ផ្នែក យើងនឹងត្រូវការ ១០ router interface ដែលនឹងចំណាយអស់តម្លៃថ្លៃ។ VLAN អនុញ្ញាតអោយ យើងចែក LAN មួយ ទៅ ជាច្រើន VLAN។ គ្រប់ VLAN និងមាន network IP ដោយផ្ទាល់ ហើយវានឹងធ្វើកា ដាច់ដោយឡែក LAN ហើយនឹងមាន ជម្រើសច្រើនដែល មាន LAN។ បន្ថែមលើនេះ គ្រប់ VLAN ទាំងអស់ អាចភ្ជាប់ទៅ interface របស់ router តែមួយគត់ ដូចបង្ហាញក្នុង រូបខាង ក្រោម។
ដូច្នេះ VLAN បញ្ចូលសុវត្ថិភាពណែតវឺក ដោយអនុញ្ញាតអោយយើង បញ្ចូលកុំព្យូទ័រ គ្រប់ ផ្នែក  ក្នុង VLAN កម្មសិទ្ធផ្ទាល់។
16.1.3  បញ្ចូល VLAN ក្នុងគ្រប់គ្រងអោយមានភាពរឹងមាំ
VLAN អនុញ្ញាតអោយអ្នកគ្រប់គ្រងណែតវឺក បញ្ចូលកុំព្យូទ័រច្រើន ក្នុង VLAN ដោយ មិន ចំណាយច្រើន។ ឧបមាថា ក្រុមហ៊ុនរបស់យើងមាន បីជាន់ ហើយមាន បីផ្នែកការិយាល័យ ផ្នែកលក់ ផ្នែកហិរញ្ញវត្ថុ និងផ្នែក HR។ យើងអាចដំឡើង បី VLAN ដែលមាន VLAN ផ្នែក លក់ VLAN ហិរញ្ញវត្ថុ និង VLAN HR លើគ្រប់ switchក្នុងគ្រប់ជាន់ដូច បង្ហាញក្នុង រូបក្រោម។
ipad airធ្វើដូចនេះ នឹងអនុញ្ញាតអោយ យើងភ្ជាប់ កុំព្យូទ័រ ផ្នែកលក់ ទៅ VLAN ផ្នែកលក់ កុំព្យូទ័រនេះ មាននៅជាន់ទី១ ឬ ជាន់ទី២ ឬជាន់ទី៣។ នេះអាច អនុវត្ត ទៅផ្នែកកុំព្យូទ័រផ្សេង ដែលបញ្ចូលការគ្រប់គ្រង អោយមាន សមត្ថភាពរឹងមាំ។

16.2  VLAN switch port membership គ្រប់ port នៅក្នុង switch អាចផ្តល់ទៅ VLAN ជាក់ស្តែង
Static port អ្នកគ្រប់គ្រងប្រើដៃ បញ្ចូល switch port ទៅ VLAN ជាក់ស្តែង
Dynamic port គឺជា port ដោយស្វ័យប្រវត្តិ ដែលបានផ្តល់ទៅ VLAN ជាក់ស្តែង ស្រេច តែនឹង ឧបករណ៍ភ្ជាប់ទៅ port។ ទង្វើនេះ ដោយប្រើ server មួយដែលត្រូវ បានហៅថា “VMPS” (VLAN Membership Policy Server)។
Trunk port Switch ប្រើ trunk port ដើម្បីឆ្លង frame ពីគ្រប់ VLAN ទាំងអស់ទៅ switch ផ្សេងទៀត ធ្វើចប់ បន្ទាប់មក គ្រប់ frame ជាមួយចំនួន VLAN របស់វា។
ipad airមានអ្វីកើតឡើង ប្រសិនបើកុំព្យូទ័រ ក្នុង “VLAN1” លើ “SW1” ផ្ញើទិន្នន័យ មួយចំនួន ទៅអោយ      កុំព្យូទ័រ ក្នុង “VLAN1” លើ “SW2”?
“SW1” និងយក frame ជាមួយ “VLAN1” ពេល “SW1” នឹងផ្ញើ frame ឆ្លងកាត់តាម trunk port របស់វាទៅភ្ជាប់ “SW2”
ហើយ “SW2” នឹងទទួល frame ហើយវានឹងរក “VLAN1” ដែលមានលើវា។
ដូច្នោះ “SW2” នឹងឆ្លងការ frame ទាំងនោះទៅ “VLAN1” port។ ដូចនេះ វានឹងភ្ជាប់ ឆ្ពោះទៅ      កុំព្យូទ័រ ។
ញាត្តិសន្តាន Native VLAN  កាលណា switch មួយទទួលបាន frame ពី trunk port របស់វា វានឹងពិចារណា វាគឺជាកម្មសិទ្ធ “Native VLAN”។
default native VLAN គឺជា “VLAN1” ទោះជាយ៉ាណាក៍ដោយ អ្នកគ្រប់គ្រងអាចដំឡើង VLAN បានច្រើនលើ switch ដើម្បីធ្វើជា native VLAN។
16.3  ការដំឡើង VLAN
16.3.1 ការដំឡើង VLAN លើ switch

យើងអាចដំឡើង VLAN មួយលើ Switch ដោយប្រើបញ្ជា command ដូចខាងក្រោម
Switch(config)#vlan vlan number
Switch(config-vlan)#name vlan name

ដើម្បីមើល ព័ត៌មាន VLAN
Switch(config)#show vlan brief
ព័ត៌មាន VLAN ត្រូវបានផ្ទុកក្នុង ទិន្នន័យ VLAN database ជា file (vlan.dat) ដែលត្រូវបានផ្ទុកក្នុង flash memory របស់ Switch។
16.3.2 ការដំឡើង VLAN access port
យើងអាចដំឡើង switch port ដូចជា access port ដូចខាងក្រោមនេះ:
Switch(config)#interface port number
Switch(config-if)#switchport mode access

Switch(config-if)#switchport access vlan vlan number
16.3.3 ការដំឡើង
VLAN trunk port
យើងអាចដំឡើង switch port ដូចជា trunk port ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport mode trunk
Switch(config-if)# switchport trunk encapsulation {dot1q | is1|negotiate}

“Dot1q” ដើម្បីបង្កើត Switch ប្រើ “IEEE802.1Q” ទៅ frame
“isl1” ដើម្បីបង្កើត Switch ប្រើ “ISL” ទៅ frame
Negotiate: ដើម្បីសន្ទនា រវាងពីរ Switch
បញ្ជា command ខាងក្រោមអនុញ្ញាតអោយ យើងចូល VLAN បាន និងអាចឆ្លងកាតើ trunk port។ ដោយប្រើ default គ្រប់ VLANs ត្រូវបានអនុញ្ញាតឆ្លងកាត់តាម trunk port។
មានមធ្បោយបាយផ្សេងទៀត ដើម្បីដំឡើង trunk port បាន យើងឧបមាថា យើងមាន switch ពីរ ដែលបានភ្ជាប់ ជាមួយគ្នា ដូច បង្ហាញ ក្នុងរូបភាព ខាងក្រោម
តាមធម្មតា trunk port ត្រូវបានប្រើដើម្បីភ្ជាប់រវាង switch ច្រើន។
ឧបមថា យើងមាន switch ពីរ គ្រប់ switch ផ្ទុក VLAN ពីរ (VLAN1 និង VLAN1) ដូចបង្ហាញក្នុងរូបភាពខាងក្រោម។
ipad airយើងអាចប្រើបញ្ជា command ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport mode dynamic {desirable | auto}
Desirable:
មានន័យថា port របស់ SW1 ធ្វើសកម្មភាព ព្យាយាម ភ្ជាប់ រវាងវា និង SW2 តាម port trunk។
Auto: SW1 និងអនុញ្ញាតឆ្លងកាត់ ដើម្បីបង្កើតភ្ជាប់ trunk link មួយ។
ប្រសិនយើង ត្រូវការ បង្កើត port របស់ SW1 មិនមែនជា trunk port យើងអាចប្រើបញ្ជា command ដូចខាងក្រោមនេះ:
Switch(config-if)# switchport no negotiate
ក្នុងករណីនេះ SW1 នឹងមិនដែរប្តូរ port នេះទៅ trunk port។
16.4  Routing រវាង VLAN ដូចដែល លោកអ្នកធ្លាប់ដឹង គ្រប់ VLAN មាន network IP របស់វាផ្ទាល់ បន្ថែមលើនេះ ប្រសិនបើយើង មានពីរ VLAN យើងត្រូវការ ឧបករណ៍ “layer 3” មាន router មួយដើម្បី បញ្ជួន route ទិន្នន័យរវាង ពីរ VLAN នោះ។
16.4.1  វិធី Routing ធម្មតាងាយ
ipad airក្នុងវិធីនេះ យើងត្រូវការ interface របស់ router សម្រាប់គ្រប់ VLAN យើងផ្តល់អោយ IP ទៅ interface ទីមួយ (fa0/0) ដែលជាកម្មសិទ្ធ VLAN1 (IP=10.0.0.1)

ក្នុងការបន្ថែមលលើនេះ យើងអាចផ្តល់ IP ទៅ interface ទីពីរ របស់ router (fa0/1) ដែលជាកម្ម សិទ្ធ VLAN2 (IP=20.0.0.1)

យើងភ្ជាប់ port មួយនៃ switch ដែលជាកម្មសិទ្ធ VLAN1 ទៅ (fa0/0)
យើងភ្ជាប់ port មួយនៃ switch ដែលជាកម្មសិទ្ធ VLAN2 ទៅ (fa0/1)

គ្រប់ ឧបករណ៍ VLAN1 និងបានផ្តល់អោយ default gateway IP address “10.0.0.1”
គ្រប់ ឧបករណ៍ VLAN2 និងបានផ្តល់អោយ default gateway IP address “20.0.0.1”
ដូច្នេះ router ឃើញការភ្ជាប់ពីរ ដែលបានភ្ជាប់ទៅប្រព័ន្ធណែតវឺក ដែលវាអាច ដំណើរការបញ្ជួន route រវាងវា។

ការដំឡើង Router និងបង្ហាញដូចខាងក្រោមនេះ:
Router(config)# interface fa0/0
Router(config-if)# ip address 10.0.0.1  255.255.255.0
Router(config-if)# no shutdown
Router(config)# interface fa0/1
Router(config-if)# ip address 20.0.0.1  255.255.255.0
Router(config-if)# no shutdown
16.4.2  វិធី បិទលើ Router
ipad air
ក្នុងវិធីនេះ យើងចែកតាម ឡូស៊ីច interface របស់ router “fa0/0” នៅក្នុង sub-interface “fa0/0.1” និង “fa0/0.2”។
បន្ថែមលើនេះ យើងផ្តល់អោយ IP ទៅ sub-interface ទីពីរ “fa0/0.2” ដែលជាកម្មសិទ្ធ VLAN2
(IP=20.0.0.1)
យើងដំឡើង port switch ដូចជា port trunk និងភ្ជាប់វា ទៅ interface របស់ router។
គ្រប់ ឧបករណ៍ VLAN1 និងបានផ្តល់អោយ default gateway IP address “10.0.0.1”
គ្រប់ ឧបករណ៍ VLAN2 និងបានផ្តល់អោយ default gateway IP address “20.0.0.1”

ដូច្នេះ router ឃើញការភ្ជាប់ពីរ ដែលបានភ្ជាប់ទៅប្រព័ន្ធណែតវឺក ដែលវាអាច ដំណើរការបញ្ជួន route រវាងវា។
ការដំឡើង Router និងបង្ហាញដូចខាងក្រោមនេះ:

Router(config)# interface fa0/0
Router(config-if)# no ip address
Router(config-if)# no shutdown
Router(config)# interface fa0/0.1
Router(config-subif)# encapsulation dot1q 1
(1 គឺជាចំនួន VLAN)
Router(config-subif)# ip address 10.0.0.1  255.255.255.0
Router(config-subif)# interface fa0/0.2
Router(config-subif)# encapsulation dot1q 2
(2 គឺជាចំនួន VLAN)
Router(config-subif)# ip address 20.0.0.1  255.255.255.0
16.5  VLAN Trunking Protocol (VTP) VTP ត្រូវបានប្រើដើម្បី ថែទាំព័ត៌មាន VLAN រវាង Switch ដែលមាន នៅក្នុង VTP domain។
ឧបមាថា យើងមាន switch ជាច្រើននៅក្នុងប្រព័ន្ធណែតវឺករបស់ យើង ហើយយើងអាចបញ្ចូល switch ទាំងនោះទៅក្នុង VTP domain។ ពេលយើង មិនត្រូវការដំឡើង VLAN របស់យើង លើ switch ទាំង នោះ យើងគ្រាន់តែដំឡើង VLAN របស់យើងតែមួយ លើ switch មួយ VTP server និង ព័ត៌មាន VLAN និងផ្សាយឆ្លងកាត់ ទៅបណ្តាល switch ទាំងអស់នៅក្នុង VTP domain។
16.5.1  VTP mode
គ្រប់ switch នៃបណ្តា switch ដែលមាននៅក្នុង VTP domain អាច ដំឡើង ធ្វើការក្នុង VTP mode មួយ។
“Server” VTP mode
បណ្តា switch ធ្វើការក្នុង server mode ផ្សាយ ព័ត៌មាន VLAN ទៅអោយ បណ្តា switch ដែលប្រើ “VTP advertisement”។ គ្រប់ “VTP advertisement” មាន “VTP revision number” ដែលជួយ switch ផ្សេងទៀតដើម្បីកំណត់ “VTP advertisement” នេះគឺថ្មី ឬចាស់។
នៅក្នុង mode នេះ
ü ព័ត៌មាន VLAN អាចផ្លាស់ប្តូច យើងអាចភ្ជាប់ទៅ switch ដែលធ្វើ ការដូចជា VTP server និងប្តូរ ការដំឡើង VLAN ដែលមានស្រេចលើវា។
* ម្យ៉ាងទៀតការប្តូរ កើតមានឡើងក្នុងទិន្នន័យ VLAN database “VTP revision number” គឺចំនួនបន្ថែម និង “VTP advertisement”​ ត្រូវបានផ្ញើទៅបណ្តា switch ទាំងអស់ក្នុង “VTP domain”។
* គ្រប់ “VTP domain” ត្រូវតែផ្ទុកយ៉ាងហោចណាស់ VTP server មួយដែរ។
“Client” VTP mode

បណ្តា switch ធ្វើការក្នុង client mode ចាប់យកព័ត៌មាន VLAN ពីបណ្តា switch ដែលកំពុងធ្វើការ ក្នុង server mode។
នៅក្នុង mode នេះ

* ព័ត៌មាន  VLAN មិនអាចផ្លាស់ប្តូរទីកន្លែង
* switch បង្កើតព័ត៌មាន VLAN របស់វា ពី “VTP advertisement”​ បានទទួលពី VTP server។
“Transparent” VTP mode
នៅក្នុង mode នេះ
* បណ្តា switch ទាំងអស់មិនអនុវត្ត ព័ត៌មាន VLAN ដែលទទួលបានពី VTP server លើវាផ្ទាល់។
ü នៅក្នុង VTPv2 (VTP version 2) បណ្តា switch ធ្វើការក្នុង “Transparent” VTP mode ផ្ញើ ឆ្ពោះទៅ ព័ត៌មាន VTP ដែលទទួលបានពី VTP server ទៅបណ្តា switch ផ្សេងៗទៀត។

16.5.2 លក្ខណ:ពិសេស VTP
– ដើម្បី ទំនាក់ទំនង ព័ត៌មាន VLAN រវាងបណ្តា switch ដែល “VTP domain name” និង “VTP password” ត្រូវតែដូចគ្នា VTP domain លើ switch ទាំងអស់។ លើសពីនេះទៀត យ៉ាងហោចណាស់ក៍ មាន switch មួយត្រូវតែធ្វើការក្នុង “VTP server mode”។
– “VTP advertisement”​ ត្រូវបានផ្ញើលើ trunk link។
– “VTP advertisement”​ ផ្ទុក “VTP domain name” និង “VTP revision number”
ipad air16.5.3   ការដំឡើង VTP ដើម្បីដំឡើង VTP លើ switch មួយ យើងអាចប្រើបញ្ជា command ដូចខាងក្រោម:

Switch(config)# vtp domain domain name
Switch(config)# vtp password vtp password
Switch(config)# vtp mode {server | client | transparent}

Switch(config)# vtp version 2
(ដើម្បីប្រើបាន enable VTP version 2)
Switch(config)# vtp pruning
(ដើម្បីប្រើបាន enable VTP pruning) ដើម្បីមើល ព័ត៌មាន VTP យើងអាចប្រើបញ្ជា command ដូចខាងក្រោម
Switch(config)# show vtp status
ប្រើ default VTP ដំឡើងលើ switch
VTP mode: server, VTP version: version 1, VTP pruning: disabled

16.5.3    VTP pruning  កាលណា VTP pruning អាចប្រើបានលើ switch មួយដែល មាន ស្រេចលើ VTP domain ការផ្សាយចេញ មិនត្រូវបានបញ្ជួនបន្ត ទៅ switch យ៉ាង ហោច ណាស់ មាន port ច្រើន ដែល ជាកម្មសិទ្ធ VLAN ដែលផ្សាយនៅក្នុង។ ដោយប្រើ default VTP pruning ត្រូវបាន បោះ បង់ចោលលើ switch។
ឧបមាថា យើងមាន ណែតវឺក ដូចក្នុងរូបខាងក្រោម ផ្សាយ នឹងដល់ក្នុង VLAN5។ ពីព្រោះ ថាកុំព្យូទ័រ ដែលបានបង្កើតការផ្សាយនេះ មាន ស្រេច លើ VLAN5។ ការផ្សាយ ឆ្លងកាត់ SW1, SW2 និង SW3 ព្រោះ ថា switch ទាំងនោះ មាន port ច្រើនដែលជា កម្មសិទ្ធ VLAN5។
Broadcast និងមិនផ្សាយឆ្លងកាត់តាម SW5 និង SW4 ពីព្រោះ បណ្តា switch ទាំងនោះ មិនធ្វើការ មាន port ដែលជាកម្មសិទ្ធ VLAN5។