พอดีที่ รพ.พรหมพิราม เริ่มมีการใช้ Switch และอุปกรณ์ต่างๆ ที่ Support VLAN มาสักพักแล้วครับ
ก็เลยอยากเอามาแชร์ประสบการณ์ เผื่อจะเป็นแนวทางให้กับบางแห่ง ส่วนท่านที่เคยใช้ก็อ่านเล่น ๆ ละกันครับ เผื่อผมจะอธิบายผิด 555+
เริ่มมาจากความต้องการที่ต้องการแบ่งกลุ่มการใช้งาน HOSxP กับ Internet ออกจากกัน (หรืออาจจะมีเงื่อนไขการแบ่งมากกว่านี้)
เพื่อป้องกันการเข้าถึงข้อมูล ไวรัส ฯลฯ
ก็จะมีหลาย ๆ แนวทางในการทำ เช่น
1. แยก Switch เครื่องที่ใช้ HOSxP ก็ใช้เน็ตไม่ได้ เครื่องที่ใช้เน็ตก็ใช้ HOSxP ไม่ได้
2. ใส่การ์ดแลน 2 การ์ด เพื่อให้ออกเน็ตได้ และใช้ HOSxP ได้
3. การเซต IP คนละ Group และ Add IP หลาย ๆ IP ในเครื่องที่ต้องการใช้หลายระบบ (ก็จะมีปัญหาเรื่อง Board Cast)
แล้วก็จะมีปัญหาหลายๆ เรื่องตามมา เช่น
- เครื่องที่ให้บริการก็ต้องการใช้เน็ตด้วย
- จะใส่การ์ดแลนก็ต้องเดินสายเพิ่ม
- เซต IP หลาย ๆ Group ก็จะ Board Cast กิน Bandwidth จนสวิตล่ม
- Wireless จะใช้ Internet ก็กลัวจะเข้าถึง HOSxP ได้
ซึ่ง VLAN สามารถแก้ปัญหาพวกนี้ได้ค่อนข้าง OK ครับ และยังง่ายต่อการบริหารด้วย แต่จะมีปัญหาตามมาด้วยเรื่องงบประมาณ 555+
VLAN มีหลายแบบ ทั้ง Port base , mac adress base , IP Subnet Base ที่ผมใช้จะเป็น Port Base ดูแลง่ายดีครับ (อันอื่นใช้ไม่เป็น 55+)
ลองอ่านตามนี้ดูก็ได้ครับ
http://webserv.kmitl.ac.th/~s6066504/ciscovlan1.htmสมัยผมเรียนก็จะมีวิชา Network ก็จะมีเรื่อง VLAN ด้วยก็เลยมีความรู้ติดมานิดหน่อย
ก็เลยพอดำน้ำไปได้ ประกอบกับที่ รพ. สวิตเสียพอดี ทีนี้ได้ทีเปลี่ยนเป็น Switch Gigabit Management Layer 2 หมดเลย อิอิ
หลัก ๆ ที่จะใช้ VLAN ก็คือ การแยกวงของเครื่องในระบบออกจากกัน เช่น แบ่ง 5 วง (อันนี้ยกตัวอย่างนะครับ)
1. VLAN 10 HOSxP + Net
2. VLAN 20 Net
3. VLAN 30 Server + Net (ที่ไม่ใช่ Server HOSxP)
4. VLAN 40 Internet แยกเดี่ยว ๆ ไม่แชร์เครื่องอื่น ใช้สำหรับ Conference (ถ้ามีเน็ตเหลือ) ถ้าไม่เหลือก็รวมไว้กับ วง Net ได้ แต่อาจจะต้อง QOS เพื่อให้การประชุมสะดุด (อันนี้ไม่ค่อยถนัดเหมือนกันครับ)
5. VLAN 50 กลุ่มอื่นที่ใช้ Switch ร่วมกัน
ทุก VLAN จะมองไม่เห็นกัน ส่วนรายละเอียดการ Config ต้องศึกษาเพิ่มเติมครับ ถ้าเข้าใจ Frame Tagging ก็น่าจะไม่ยาก
พอ Config Switch เสร็จยังไม่จบแค่นั้น เพราะ Internet ต้องเชื่อมต่อกับหลาย ๆ VLAN
เราก็ต้องมีตัวจ่ายสัญญาณเน็ต ที่สามารถ อ่าน Frame ที่มีการ tag VLAN ได้ (ใน Datalink Layer จะมีการ tag vlan มากับ frame)
ที่ รพ.ผม ใช้ iPassport สามารถ tag vlan ได้ (บริษัทมาจัดการให้) ตัว iPassport ก็จะจัดการจ่าย IP และสัญญาณเน็ตตาม VLAN ได้เลยครับ
ทีนี้ผมมี Server เหลืออีก 1 ตัว เป็น Windwos Server สามารถแชร์ไฟล์ได้ หรือ VPN เข้ามาได้
เราก็สามารถ Config ให้ Server มองเห็นได้จากทุก VLAN ได้เหมือนกัน ตอนแรกมี 2 VLAN เราก็สามารถใส่การ์ดแลน 2 การ์ดได้
แต่ถ้ามี vlan มากกว่านั้นจะใส่การ์ดแลนเพิ่มก็คงไม่ไหว
พึ่งมารู้ทีหลังว่ามัน tag vlan ได้เหมือนกัน โดยไป download utility ของ Server มาแล้วกำหนด VLAN ให้กับการ์ดแลนครับ
และที่สำคัญ อุปกรณ์ที่สามารถ Manange ได้ จะ support SNMP Protocol ซึ่ง Cacti ก็ใช้ Protocol นี้มาสร้างกราฟได้
ทำให้เรารู้แบนวิธที่วิ่งผ่าน Switch ทุก Port
ปล. หากข้อมูลผิดผลาดประการใดขออภัยด้วยนะครับ ถือว่าเรามาแชร์ข้อมูลกัน
อันนี้ไปเจอมา การใช้ CC ร่วมกับ VLAN
http://www.thaiinternetcafe.com/drupal/node/18
หัวข้อ: VLAN กับการแยกวงของเครื่องในระบบ (อ่าน 13714 ครั้ง)