(ML-001) วิธีจัดการ IP สาธารณะหรือส่วนตัวหลายรายการบนเราเตอร์ Edge อย่างเหมาะสม
$8,99
การเชื่อมต่อโครงข่าย VLAN: การกำหนดเส้นทางระหว่างเครือข่ายเสมือน
- เมาโร เอสคาลานเต้
- ไม่มีความเห็น
- แบ่งปันบทความนี้
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
การเชื่อมต่อโครงข่าย VLAN หมายถึงกระบวนการสร้างการสื่อสารระหว่างเครือข่ายเสมือน (VLAN) ที่แตกต่างกันในโครงสร้างพื้นฐานเครือข่าย VLAN คือเซ็กเมนต์เชิงตรรกะของเครือข่ายทางกายภาพที่ช่วยให้ผู้ดูแลระบบสามารถแบ่งเครือข่ายออกเป็นกลุ่มลอจิคัลที่มีขนาดเล็กลง เพื่อปรับปรุงความปลอดภัย การจัดการ และประสิทธิภาพของเครือข่าย
เมื่อสร้าง VLAN แยกกัน ตามค่าเริ่มต้นแล้ว VLAN เหล่านั้นจะไม่สามารถสื่อสารระหว่างกันโดยตรงได้ อย่างไรก็ตาม ในหลาย ๆ สถานการณ์ จำเป็นต้องอนุญาตให้มีการสื่อสารระหว่าง VLAN ที่แตกต่างกันเพื่อแบ่งปันทรัพยากรหรืออนุญาตให้ผู้ใช้เข้าถึงบริการเฉพาะบนเครือข่ายเสมือนอื่น ๆ นี่คือที่ การกำหนดเส้นทางระหว่าง VLAN.
การกำหนดเส้นทางระหว่าง VLAN ช่วยให้การรับส่งข้อมูลสามารถเคลื่อนย้ายระหว่าง VLAN ที่แตกต่างกันได้โดยใช้ อุปกรณ์กำหนดเส้นทาง หรือ สวิตช์เลเยอร์ 3 ที่มีความสามารถในการกำหนดเส้นทาง อุปกรณ์เหล่านี้ทำหน้าที่เป็นสะพานเชื่อมระหว่าง VLAN และช่วยให้สามารถสื่อสารระหว่างกันได้
วิธีดำเนินการกำหนดเส้นทาง
วิธีหลักในการใช้การกำหนดเส้นทางระหว่าง VLAN คือ:
1. การกำหนดเส้นทางด้วยเราเตอร์ภายนอก
ในการกำหนดค่านี้ แต่ละ VLAN จะเชื่อมต่อกับอินเทอร์เฟซของตัวเองบนเราเตอร์ เมื่อจำเป็นต้องส่งแพ็กเก็ตข้อมูลจาก VLAN หนึ่งไปยังอีก VLAN จะถูกส่งไปยังเราเตอร์ ซึ่งจะส่งต่อไปยัง VLAN ปลายทาง เทคนิคนี้เรียบง่ายและมีประสิทธิภาพ แต่อาจไม่มีประสิทธิภาพหากมี VLAN จำนวนมาก เนื่องจากต้องใช้อินเทอร์เฟซแยกต่างหากสำหรับแต่ละรายการ
2. การกำหนดเส้นทางที่การสลับเลเยอร์ 3
ในการกำหนดค่านี้ การกำหนดเส้นทางจะดำเนินการภายในสวิตช์ ซึ่งสามารถเข้าใจและจัดการแพ็กเก็ตในระดับเครือข่ายได้ สวิตช์ประเภทนี้มีอินเทอร์เฟซเลเยอร์ 3 เสมือนหลายอินเทอร์เฟซ หนึ่งอินเทอร์เฟซสำหรับแต่ละ VLAN ช่วยให้คุณสามารถกำหนดเส้นทางระหว่างอินเทอร์เฟซเหล่านั้นได้ เทคนิคนี้มีประสิทธิภาพมากกว่าการกำหนดเส้นทางด้วยเราเตอร์ภายนอก แต่ต้องใช้ฮาร์ดแวร์ที่ซับซ้อนและมีราคาแพงกว่า
3. การกำหนดเส้นทางด้วยลำตัว (Router-on-a-stick)
ในการกำหนดค่านี้ อินเทอร์เฟซทางกายภาพเดียวบนเราเตอร์ถูกใช้เพื่อจัดการการรับส่งข้อมูลจาก VLAN หลายตัว VLAN สร้างความแตกต่างโดยใช้แท็ก VLAN (802.1Q) บนแพ็กเก็ตข้อมูล เทคนิคนี้มีประสิทธิภาพมากกว่าการกำหนดเส้นทางด้วยเราเตอร์ภายนอกในแง่ของการใช้งานอินเทอร์เฟซ แต่อาจถูกจำกัดโดยจำนวนแบนด์วิธที่มีอยู่บนอินเทอร์เฟซ Trunk
ขั้นตอนสำคัญ
เมื่อกำหนดค่าการกำหนดเส้นทางระหว่าง VLAN ต้องดำเนินการหลายขั้นตอน:
1. การกำหนดค่า VLAN
ขั้นแรก แต่ละ VLAN จะถูกสร้างขึ้นบนสวิตช์หรืออุปกรณ์เครือข่าย แต่ละ VLAN ได้รับการกำหนดค่าด้วย ID เฉพาะและพอร์ตเฉพาะถูกกำหนดให้กับแต่ละ VLAN
2. การกำหนดค่าอินเทอร์เฟซการกำหนดเส้นทาง
บนอุปกรณ์กำหนดเส้นทางหรือสวิตช์เลเยอร์ 3 จะต้องกำหนดค่าอินเทอร์เฟซที่จะเชื่อมต่อกับแต่ละ VLAN อินเทอร์เฟซเหล่านี้ได้รับการกำหนดค่าด้วยที่อยู่ IP ที่เป็นของเครือข่ายย่อยของแต่ละ VLAN
3. การกำหนดค่าตารางเส้นทาง
เส้นทางแบบคงที่ได้รับการกำหนดค่าหรือใช้โปรโตคอลการกำหนดเส้นทางแบบไดนามิกเพื่อให้อุปกรณ์การกำหนดเส้นทางทราบวิธีเข้าถึงเครือข่ายย่อยของแต่ละ VLAN
4. การจัดทำนโยบายการเข้าถึง
สามารถใช้รายการควบคุมการเข้าถึง (ACL) เพื่อควบคุมการรับส่งข้อมูลที่อนุญาตหรือบล็อกระหว่าง VLAN นี่เป็นการรักษาความปลอดภัยและการควบคุมเพิ่มเติมอีกชั้นหนึ่ง
เมื่อขั้นตอนเหล่านี้เสร็จสิ้น VLAN จะเชื่อมต่อถึงกันและจะสามารถสื่อสารระหว่างกันได้ผ่านทาง อุปกรณ์กำหนดเส้นทาง ทั้ง สวิตช์เลเยอร์ 3. อุปกรณ์กำหนดเส้นทางจะตรวจสอบข้อมูลปลายทางของแพ็กเก็ตและกำหนดเส้นทางไปยัง VLAN ปลายทางที่เกี่ยวข้อง
สิ่งสำคัญคือต้องทราบว่าการกำหนดเส้นทางระหว่าง VLAN อาจมีผลกระทบต่อประสิทธิภาพของเครือข่าย เนื่องจากเกี่ยวข้องกับการประมวลผลแพ็กเก็ตเพิ่มเติม และสามารถสร้างการรับส่งข้อมูลเพิ่มเติมบนเครือข่ายได้
ดังนั้นจึงเป็นสิ่งสำคัญที่จะต้องออกแบบการกำหนดค่าเส้นทางอย่างรอบคอบ และพิจารณาแบนด์วิดท์และทรัพยากรที่มีอยู่เพื่อให้แน่ใจว่าเครือข่ายมีประสิทธิภาพสูงสุด
เราเตอร์หรือสวิตช์เลเยอร์ 3
ทางเลือกระหว่างการใช้เราเตอร์หรือสวิตช์เลเยอร์ 3 สำหรับการกำหนดเส้นทางระหว่าง VLAN จะขึ้นอยู่กับปัจจัยหลายประการ รวมถึงขนาดของเครือข่าย ปริมาณการรับส่งข้อมูล ทรัพยากรที่มีอยู่ และความต้องการเฉพาะขององค์กร
ข้อควรพิจารณาบางประการที่สามารถช่วยคุณตัดสินใจได้มีดังนี้
1 การปฏิบัติ
โดยทั่วไปสวิตช์เลเยอร์ 3 จะเร็วกว่าเราเตอร์สำหรับการกำหนดเส้นทาง เนื่องจากฮาร์ดแวร์สวิตช์ได้รับการออกแบบมาเพื่อจัดการการกำหนดเส้นทางแพ็กเก็ตความเร็วสูง สิ่งนี้อาจมีความสำคัญเป็นพิเศษบนเครือข่ายที่มีการรับส่งข้อมูลระหว่าง VLAN จำนวนมาก
2. ค่าใช้จ่าย
โดยทั่วไปสวิตช์เลเยอร์ 3 จะมีราคาแพงกว่าเราเตอร์เนื่องจากฮาร์ดแวร์พิเศษ ดังนั้น หากงบประมาณเป็นสิ่งสำคัญในการพิจารณา เราเตอร์ก็อาจเป็นตัวเลือกที่คุ้มค่ากว่า
3 ความยืดหยุ่น
หากเครือข่ายมีวัตถุประสงค์เพื่อเพิ่มขนาดและความซับซ้อน สวิตช์เลเยอร์ 3 อาจเป็นตัวเลือกที่ปรับขนาดได้มากกว่า สวิตช์เลเยอร์ 3 สามารถรองรับ VLAN จำนวนมาก และจัดให้มีการกำหนดเส้นทางระหว่าง VLAN โดยไม่จำเป็นต้องใช้อินเทอร์เฟซทางกายภาพเพิ่มเติมตามที่เราเตอร์ต้องการ
4. คุณสมบัติขั้นสูง
โดยทั่วไปเราเตอร์จะนำเสนอคุณสมบัติขั้นสูงที่หลากหลายกว่าเมื่อเทียบกับสวิตช์เลเยอร์ 3 สิ่งเหล่านี้อาจรวมถึงการรองรับโปรโตคอลการกำหนดเส้นทางที่หลากหลาย ความสามารถของไฟร์วอลล์ VPN และคุณสมบัติความปลอดภัยอื่น ๆ
5. ความง่ายในการกำหนดค่าและการจัดการ
โดยทั่วไปสวิตช์เลเยอร์ 3 จะกำหนดค่าและจัดการการกำหนดเส้นทางระหว่าง VLAN ได้ง่ายกว่าเมื่อเปรียบเทียบกับเราเตอร์ เนื่องจากคุณสามารถกำหนดค่าอินเทอร์เฟซ VLAN หลายรายการบนอุปกรณ์เครื่องเดียว แทนที่จะต้องจัดการอินเทอร์เฟซทางกายภาพหลายรายการบนเราเตอร์
โดยสรุป การเลือกระหว่างเราเตอร์และสวิตช์เลเยอร์ 3 สำหรับการกำหนดเส้นทางระหว่าง VLAN จะขึ้นอยู่กับความต้องการเฉพาะของเครือข่ายของคุณ ทั้งสองตัวเลือกมีข้อดีและข้อเสีย และตัวเลือกที่ดีที่สุดจะแตกต่างกันไปในแต่ละสถานการณ์
เราเตอร์กับสวิตช์เลเยอร์ 3
ด้านล่างนี้ เราจะนำเสนอตารางเปรียบเทียบที่เน้นถึงข้อดีบางประการที่ทั้งสองมีให้ เราเตอร์ เป็น สวิตช์เลเยอร์ 3 สำหรับการกำหนดเส้นทางระหว่าง VLAN ในเครือข่าย:
| เราเตอร์ | สวิตช์เลเยอร์ 3 | |
|---|---|---|
| การปฏิบัติ | โดยทั่วไปความเร็วการกำหนดเส้นทางจะช้าลงเมื่อเทียบกับสวิตช์เลเยอร์ 3 | ประสิทธิภาพสูง สามารถกำหนดเส้นทางความเร็วสูงได้ |
| ราคา | โดยทั่วไปถูกกว่า | โดยทั่วไปจะมีราคาแพงกว่าเนื่องจากฮาร์ดแวร์พิเศษ |
| ความสามารถในการปรับขนาด | อาจถูกจำกัดด้วยจำนวนอินเทอร์เฟซทางกายภาพที่พร้อมใช้งาน | ปรับขนาดได้มาก สามารถรองรับ VLAN จำนวนมากได้ |
| คุณสมบัติขั้นสูง | รองรับโปรโตคอลการกำหนดเส้นทาง ไฟร์วอลล์ VPN และอื่นๆ ที่หลากหลาย | โดยหลักแล้วจำกัดอยู่ที่การกำหนดเส้นทาง แม้ว่าบางรุ่นอาจมีฟีเจอร์ขั้นสูงก็ตาม |
| การกำหนดค่าและการจัดการ | อาจมีความซับซ้อนมากขึ้นเนื่องจากจำเป็นต้องจัดการอินเทอร์เฟซทางกายภาพหลายรายการ | การกำหนดค่าและการจัดการที่ง่ายขึ้นเนื่องจากอินเทอร์เฟซ VLAN เสมือน |
การใช้การกำหนดเส้นทาง VLAN ใน RouterOS
ต่อไปนี้เป็นตัวอย่างของวิธีที่คุณสามารถกำหนดค่าการกำหนดเส้นทางระหว่าง VLAN บนเราเตอร์ MikroTik นี่ถือว่าคุณมี VLAN สองตัวที่กำหนดค่าไว้แล้ว (VLAN 10 และ VLAN 20) บนพอร์ต ether2 และคุณต้องการกำหนดค่าการกำหนดเส้นทางระหว่างกัน
นี่เป็นตัวอย่างง่ายๆ และคุณอาจต้องปรับคำสั่งให้เหมาะกับความต้องการเฉพาะของเครือข่ายของคุณ
ขั้นแรกเราจะต้องกำหนดที่อยู่ IP ให้กับแต่ละ VLAN ที่อยู่เหล่านี้จะทำหน้าที่เป็นเกตเวย์เริ่มต้นสำหรับแต่ละ VLAN สมมติว่าเราจะใช้ 192.168.10.1/24 สำหรับ VLAN 10 และ 192.168.20.1/24 สำหรับ VLAN 20:
/ip address add address=192.168.10.1/24 interface=ether2.10
/ip address add address=192.168.20.1/24 interface=ether2.20
2. ต่อไป เราจะเปิดใช้งานการกำหนดเส้นทางระหว่าง VLAN MikroTik ทำสิ่งนี้โดยอัตโนมัติผ่านความสามารถในการกำหนดเส้นทางเลเยอร์ 3:
/ip route add dst-address=192.168.10.0/24 gateway=192.168.10.1
/ip route add dst-address=192.168.20.0/24 gateway=192.168.20.1
3. สุดท้ายนี้ หากคุณต้องการให้ VLAN สามารถเข้าถึงอินเทอร์เน็ตได้ คุณจะต้องกำหนดค่าเส้นทางเริ่มต้นผ่านเกตเวย์อินเทอร์เน็ตของคุณ สมมติว่าเกตเวย์อินเทอร์เน็ตของคุณคือ 192.168.1.1:
/ip route add dst-address=0.0.0.0/0 gateway=192.168.1.1
การเพิ่มกฎไฟร์วอลล์เพื่อควบคุมการรับส่งข้อมูลระหว่าง VLAN บนเราเตอร์ MikroTik สามารถช่วยปรับปรุงความปลอดภัยของเครือข่ายได้ นี่คือตัวอย่างวิธีที่คุณสามารถทำได้
สมมติว่าคุณต้องการบล็อกการรับส่งข้อมูลทั้งหมดจาก VLAN 10 ถึง VLAN 20 แต่อนุญาตให้รับส่งข้อมูลในทิศทางตรงกันข้าม ขั้นแรก คุณจะต้องระบุเครือข่ายที่สอดคล้องกับ VLAN ของคุณ (เช่น 192.168.10.0/24 สำหรับ VLAN 10 และ 192.168.20.0/24 สำหรับ VLAN 20) จากนั้นคุณสามารถใช้คำสั่งต่อไปนี้:
/ip firewall filter add chain=forward src-address=192.168.10.0/24 dst-address=192.168.20.0/24 action=drop
/ip firewall filter add chain=forward src-address=192.168.20.0/24 dst-address=192.168.10.0/24 action=accept
คำสั่งเหล่านี้จะสร้างกฎไฟร์วอลล์สองกฎ:
- กฎข้อแรกจะบล็อกการรับส่งข้อมูลทั้งหมดจาก VLAN 10 ถึง VLAN 20 (นั่นคือ แพ็กเก็ตทั้งหมดที่มาจากเครือข่าย 192.168.10.0/24 และกำหนดไว้สำหรับเครือข่าย 192.168.20.0/24 จะถูกทิ้ง)
- กฎข้อที่สองจะอนุญาตการรับส่งข้อมูลจาก VLAN 20 ถึง VLAN 10 (นั่นคือ แพ็กเก็ตทั้งหมดที่มาจากเครือข่าย 192.168.20.0/24 และกำหนดไว้สำหรับเครือข่าย 192.168.10.0/24 จะได้รับการยอมรับ)
นี่เป็นตัวอย่างพื้นฐานมาก กฎไฟร์วอลล์อาจซับซ้อนและเฉพาะเจาะจงมากขึ้น ขึ้นอยู่กับความต้องการด้านความปลอดภัยของคุณ ตัวอย่างเช่น คุณอาจต้องการบล็อกหรืออนุญาตเฉพาะการรับส่งข้อมูลบางประเภท (เช่น HTTP, SSH ฯลฯ) หรือคุณอาจต้องการบล็อกหรืออนุญาตการรับส่งข้อมูลไปยัง/จากที่อยู่ IP ที่ระบุ
แบบทดสอบความรู้สั้นๆ
คุณคิดอย่างไรกับบทความนี้?
คุณกล้าที่จะประเมินความรู้ที่คุณเรียนมาหรือไม่?
บทความที่เกี่ยวข้อง
บทความที่เกี่ยวข้อง
หัวข้ออื่นๆ ที่คุณอาจสนใจ
คุณต้องการแนะนำหัวข้อหรือไม่?
เราโพสต์เนื้อหาใหม่ทุกสัปดาห์ คุณต้องการให้เราพูดคุยเกี่ยวกับสิ่งที่เฉพาะเจาะจงหรือไม่?
หลักสูตรออนไลน์ที่กำลังจะมีขึ้น
เอ็มทีซีนออนไลน์
$187,00
เอ็มทีซีเอ็นเอออนไลน์
$187,00
เอ็มทีซีอาร์อีออนไลน์
$187,00
แพ็ค 4 เล่ม MikroTik RouterOS
$68,47
