VLAN Trunking: อธิบายโปรโตคอล IEEE 802.1Q

เมาโร เอสคาลานเต้
มิถุนายน 16, 2023
4: 20 น
ไม่มีความเห็น

การเดินสาย VLAN เป็นหน้าที่สำคัญในการบริหารเครือข่ายและโปรโตคอล อีอีอี 802.1Q เป็นมาตรฐานที่กำหนดวิธีการนำไปปฏิบัติ การทำความเข้าใจแนวคิดเหล่านี้ถือเป็นสิ่งสำคัญในการจัดการเครือข่ายอย่างมีประสิทธิภาพ

ในตอนท้ายของบทความคุณจะพบกับสิ่งเล็ก ๆ น้อย ๆ ทดสอบ ที่จะช่วยให้คุณ ประเมิน ความรู้ที่ได้รับจากการอ่านครั้งนี้

ไปที่การทดสอบ

แนวคิดพื้นฐาน

ก่อนที่จะลงรายละเอียด สิ่งสำคัญคือต้องเข้าใจแนวคิดพื้นฐานบางประการ

VLAN

VLAN เป็นตัวย่อของ เครือข่ายท้องถิ่นเสมือน. หมายถึงกลุ่มของอุปกรณ์เครือข่ายที่ทำงานเหมือนกับว่าอยู่ในเครือข่ายทางกายภาพเดียวกัน โดยไม่คำนึงถึงตำแหน่งทางกายภาพที่แท้จริง

VLAN สามารถช่วยลดความแออัดของเครือข่าย ปรับปรุงความปลอดภัย และอำนวยความสะดวกในการจัดการเครือข่าย

เดินสายไฟ

ในบริบทของเครือข่ายนั้น การเดินสายไฟ หมายถึงการปฏิบัติในการส่งข้อมูลหลายกระแสพร้อมกันผ่านลิงก์เครือข่ายเดียว

VLAN Trunking คืออะไร?

VLAN Trunking เป็นเทคนิคที่ใช้ในการอนุญาตให้หลาย VLAN สามารถส่งผ่านลิงก์การสื่อสารเดียว "กระโปรงหลังรถ" o "กระโปรงหลังรถ" ระหว่างสวิตช์ สิ่งนี้ทำให้อุปกรณ์บน VLAN ที่แตกต่างกันสามารถสื่อสารถึงกัน แม้ว่าจะอยู่บนเครือข่ายที่แยกจากกันก็ตาม

โปรโตคอล IEEE 802.1Q

อีอีอี 802.1Q เป็นมาตรฐานที่กำหนดวิธีการใช้งาน VLAN trunking ในเครือข่ายอีเธอร์เน็ต กล่าวโดยย่อคือ ช่วยให้ลิงก์อีเธอร์เน็ตสามารถรับส่งข้อมูลจาก VLAN หลายตัวโดยการเพิ่ม "แท็ก" ให้กับเฟรมอีเทอร์เน็ตเพื่อระบุว่าเฟรมใดเป็นของ VLAN ใด กระบวนการติดฉลากนี้เรียกว่า “การติดแท็ก”.

การแท็กทำงานอย่างไร?

เมื่อสวิตช์ได้รับ กรอบ จากพอร์ตการเข้าถึง (กำหนดให้กับ VLAN เฉพาะ) จะเพิ่ม ป้าย 802.1Q ไปที่เฟรมก่อนส่งผ่านลิงค์ท้ายรถ แท็กนี้มีตัวระบุ วีแลน (VID) ซึ่งระบุว่าเฟรมเป็นของ VLAN ใด

เมื่อเฟรมมาถึงสวิตช์อื่นเหนือ Trunk เฟรมจะอ่านแท็ก 802.1Q เพื่อพิจารณาว่าเฟรมนั้นเป็นของ VLAN ใด จากนั้นจะลบแท็กออกและส่งเฟรมผ่านพอร์ตการเข้าถึงที่สอดคล้องกับ VLAN ที่ระบุ

ข้อดีและข้อเสีย

ข้อได้เปรียบหลักของ VLAN trunking คือ ประสิทธิภาพ. ช่วยให้สามารถรับส่งข้อมูลจาก VLAN หลายตัวผ่านลิงก์ทางกายภาพเดียว ลดความจำเป็นในการเดินสายเคเบิลเพิ่มเติมและปรับปรุงประสิทธิภาพของเครือข่าย

นอกจากนี้ยังอำนวยความสะดวกในการจัดการเครือข่ายด้วยการอนุญาตให้ผู้ดูแลระบบเครือข่ายจัดกลุ่มอุปกรณ์เครือข่ายตามตรรกะแทนที่จะเป็นทางกายภาพ

อย่างไรก็ตาม VLAN trunking ยังสามารถเพิ่มความซับซ้อนของเครือข่ายและต้องมีการวางแผนอย่างรอบคอบเพื่อให้แน่ใจว่าการรับส่งข้อมูลจะถูกแยกออกจากกันในกรณีที่จำเป็นและได้รับอนุญาตในกรณีที่ต้องมีการสื่อสารระหว่าง VLAN

ตารางเปรียบเทียบข้อดีและข้อเสียของ VLAN Trunking

ความได้เปรียบ	ข้อเสีย
ประสิทธิภาพของเครือข่าย: Trunking ช่วยให้สามารถรับส่งข้อมูลจาก VLAN หลายตัวผ่านลิงก์ทางกายภาพเดียว ช่วยลดความจำเป็นในการเดินสายเคเบิลเพิ่มเติม	ความซับซ้อน: การกำหนดค่าและการจัดการ VLAN และ Trunking อาจเป็นกระบวนการที่ซับซ้อนและต้องใช้ทักษะทางเทคนิคในระดับสูง
ความปลอดภัย: VLAN สามารถช่วยปรับปรุงความปลอดภัยโดยแยกการรับส่งข้อมูลประเภทต่างๆ บนเครือข่ายเสมือนที่แตกต่างกัน	ความเสี่ยงด้านความปลอดภัย: หากไม่ได้กำหนดค่าอย่างถูกต้อง VLAN และ trunking อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย เช่น การกระโดด VLAN
อำนวยความสะดวกในการบริหารเครือข่าย: VLAN อนุญาตให้อุปกรณ์เครือข่ายถูกจัดกลุ่มตามตรรกะมากกว่าทางกายภาพ ทำให้การจัดการเครือข่ายง่ายขึ้น	การปฏิบัติ: หากใช้ไม่ถูกต้อง การเดินสายอาจทำให้เกิดปัญหาด้านประสิทธิภาพของเครือข่าย เช่น ความแออัด
ความสามารถในการปรับขนาด: ด้วย Trunking คุณสามารถเพิ่มอุปกรณ์ลงใน VLAN ได้อย่างง่ายดายโดยไม่จำเป็นต้องใช้สายเคเบิลเพิ่มเติม	การพึ่งพาซัพพลายเออร์: คุณสมบัติ VLAN และ Trunking บางอย่างอาจเป็นคุณสมบัติเฉพาะของผู้จำหน่าย ซึ่งอาจจำกัดตัวเลือกฮาร์ดแวร์เครือข่าย

Native VLAN และการแท็ก

เมื่อพูดถึง 802.1Q และ VLAN trunking สิ่งสำคัญที่ต้องพูดถึงแนวคิดก็คือ “พื้นเมือง VLAN”. VLAN ดั้งเดิมเป็น VLAN เริ่มต้นที่กำหนดให้กับ Trunk เฟรมที่เป็นของ VLAN ดั้งเดิมจะถูกส่งผ่าน Trunk โดยไม่มีแท็ก 802.1Q

สาเหตุที่เฟรม VLAN ดั้งเดิมไม่ถูกแท็กก็เพื่อให้เข้ากันได้กับอุปกรณ์เครือข่ายที่ไม่รองรับ 802.1Q ดังนั้น หากเฟรมที่ไม่ถูกแท็กมาถึงพอร์ต trunk สวิตช์จะถือว่าเฟรมนั้นเป็นของ VLAN ดั้งเดิม

แนวทางปฏิบัติด้านความปลอดภัย

แม้ว่าการเชื่อมต่อ VLAN ด้วย 802.1Q จะมีประโยชน์ แต่ก็ยังมีปัญหาด้านความปลอดภัยอยู่บ้าง หนึ่งในนั้นคือการโจมตีของ VLAN กระโดด. ในการโจมตีประเภทนี้ บุคคลที่ประสงค์ร้ายสามารถส่งเฟรมที่ติดแท็กไปยังพอร์ตการเข้าถึงของสวิตช์เพื่อพยายามเข้าถึง VLAN อื่น ๆ บน Trunk

เพื่อลดความเสี่ยงนี้ แนวทางปฏิบัติด้านความปลอดภัยที่ดีในการปิดใช้งาน VLAN trunking บนพอร์ตทั้งหมดที่เชื่อมต่อกับโฮสต์ และอนุญาตเฉพาะบนพอร์ตที่เชื่อมต่อกับสวิตช์อื่นเท่านั้น ขอแนะนำให้เปลี่ยน VLAN ดั้งเดิมเป็น VLAN ที่ไม่ได้ใช้เพื่อวัตถุประสงค์อื่นใด

DTP (โปรโตคอลทรังก์ไดนามิก)

นอกเหนือจาก 802.1Q แล้ว ซิสโก้ นอกจากนี้ยังมีโปรโตคอล VLAN trunking ของตัวเองที่เรียกว่า โปรโตคอลการรับส่งข้อมูลแบบไดนามิก (DTP). DTP อนุญาตให้มีการเจรจาโหมด trunking ระหว่างสวิตช์สองตัวโดยอัตโนมัติ แม้ว่า DTP จะทำให้การกำหนดค่า Trunking ง่ายขึ้น แต่ก็อาจเป็นช่องโหว่ด้านความปลอดภัยได้หากไม่ได้รับการจัดการอย่างเหมาะสม เนื่องจากสามารถอนุญาตให้ผู้โจมตีกำหนดค่าพอร์ตการเข้าถึงเป็นพอร์ต Trunk ได้

ข้อมูลอย่างย่อ

โดยสรุป VLAN trunking และโปรโตคอล IEEE 802.1Q ถือเป็นลักษณะพื้นฐานของการจัดการเครือข่ายสมัยใหม่ ช่วยให้มีการสื่อสารที่มีประสิทธิภาพระหว่าง VLAN ที่แตกต่างกันผ่านลิงก์เครือข่ายเดียว ปรับปรุงประสิทธิภาพและความยืดหยุ่น อย่างไรก็ตาม ยังจำเป็นต้องมีการจัดการอย่างรอบคอบเพื่อให้มั่นใจถึงความปลอดภัยของเครือข่ายและหลีกเลี่ยงปัญหาต่างๆ เช่น การข้าม VLAN