Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

ติดตั้ง ปรับแต่งอุปกรณ์ Cisco Linksys ประเภท Switch ทุกรุ่น SDXXXX, SRXXX, SRWXXX
L3 Switch, ACLs, Network Security, VLAN, QoS, Link Aggregation, SNMP

Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย vit_et07 เมื่อ พุธ 16 พ.ย. 2011 12:55 pm

รูปภาพ Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน บน L2 Switch
บทความสำหรับ: ผู้ที่มีความรู้เกี่ยวกับระบบเครือข่ายในระดับปานกลางถึงสูง(v1.1)
โดย วิทวัส โฉมประเสริฐ, ศุภสิทธิ์ ศิริพานิชกร

บทความนี้เข้าใจยากและค่อนยาวนิดนึงนะครับ แต่ค่อนข้างจะมีประโยชน์มากครับผม :D

คำถาม

1.ถ้าต้องการแบ่ง วงเน็ตเวิร์ค ออกจากกันเพื่อลดการ Broadcast หรือ แยกส่วนวงที่ไม่ต้องการให้มองเห็นกัน ต้องตั้งค่าอย่างไรบ้าง?

คำตอบ

ในบทความนี้ใช้อุปกรณ์ CISCO SRW2024P-K9(SG300-28P) ในการทดลอง โดยโจทย์ง่ายๆ ว่า ต้องการแยก port ไม่ให้สามาุรถมองเห็นกัน แต่สามารถมองเห็นที่ตัว Router เพื่อเชื่อมต่อ internet ออกไปได้เท่านั้น โดย port ของแต่ละ ตัวสามารถนำไปต่อ ผ่าน Switch Unmange อื่น หรือ Wireless เพื่อขยายต่อไปได้



    รูปภาพ



รายละเอียดการกำหนด VLAN

  1. VLAN 1 Port G1 ใช้สำหรับ Managed เข้าตัว SRW2024P-K9 (IP Address : 192.168.1.254)

  2. VLAN 10 Port e1 ชื่อ FL1
    VLAN 10 :- มีสมาชิกเป็น
    พอร์ต e1,e24 มี PVID เป็น 10
    พอร์ต e1,e2,e3,e4,e24 แบบ Untagged

  3. VLAN 20 Port e1 ชื่อ FL2
    VLAN 20 :- มีสมาชิกเป็น
    พอร์ต e2 มี PVID เป็น 20
    พอร์ต e2,e24 แบบ Untagged

  4. VLAN 30 Port e1 ชื่อ FL3
    VLAN 30 :- มีสมาชิกเป็น
    พอร์ต e3 มี PVID เป็น 30
    พอร์ต e3,e24 แบบ Untagged

  5. VLAN 40 Port e1 ชื่อ FL4
    VLAN 40 :- มีสมาชิกเป็น
    พอร์ต e4 มี PVID เป็น 40
    พอร์ต e4,e24 แบบ Untagged



ขั้นตอนการตั้งค่า SRW2024P-K9


  1. Static IP เครื่องคอมให้อยู่ในวงเดียวกับ CISCO SMB

    รูปภาพ

  2. ตัว CISCO สามารถเข้า ผ่าน WEB ได้เลย โดย Default จะเป็น IP Address : 192.168.1.254 โดยเข้าช่อง LAN ใดก็ได้

    รูปภาพ

  3. Login
    Username : cisco
    Password : admin

    โดยเมื่อผู้ใช้ login เข้ามาแล้วระบบของตัวอุปกรณ์ จะให้ เปลี่ยน login ใหม่ทันที และทำการ save และ login ที่่ตั้งใหม่เข้ามาอีกครั้ง

    รูปภาพ

  4. เริ่มต้นให้ สร้างชื่อของ VLAN ขึ้นมาโดยไปที่เมนู
    VLAN Management -> Create VLAN

    รูปภาพ


    กด ADD เพื่อสร้าง VLAN

    รูปภาพ


    ระบุ
    VLAN ID : ตัวเลข
    VALN NAME : ชื่อของ VLAN ที่สร้างหรือกลุ่มเพื่อระบุ VLAN ID นั่นๆ

    รูปภาพ


    หลังจากสร้างเสร็จสิ้น
    VLAN : 1 : เป็นค่าของโรงงาน โดยเป็นการ MAnage เข้าผ่านตัวอุปกรณ์เข้ามาเพื่อคอนฟิค
    VLAN : 10 : FL1
    VLAN : 20 : FL2
    VLAN : 30 : FL3
    VLAN : 40 : FL4
    เสร็จสิ้นการสร้างกลุ่มของ VLAN ที่ต้องการ


    รูปภาพ

  5. ตั้งค่า Interface ของ Port ที่ต้องการก่อนการทำ VLAN ไปที่เมนู
    VLAN Management -> Interface Settings

    รูปภาพ


    การตั้งค่า Interface เป็นกา่รระบุความสามารถของ port ที่ผู้ใช้งานต้องการ ว่าจะให้เป็นโหมดไหนก่อน เช่น Gerneral , Access , Trunk
    โดยการ Edit เข้าไปแก้ไขโดยหากเป็นผ่านการทำ Untag ระหว่าง port กันให้ตั้งค่า port ที่แก้ไขเป็นแบบ general แต่หากต้องการให้ port ที่เข้าไปเป็น แบบ Tag ให้ระบุเป็น Trunk
    โดยตามรูปเป็นการแก้ไข port ที่ต้องการเรียบร้อยแ้ล้ว
    กด Edit เข้่าไปแก้ไข

    รูปภาพ


    เลือก interface port ที่ต้องการ
    เลือก interface Vlan mode : ที่ต้องการแก้ไข general
    Adminitative PVID : ระบุ PVID ที่เป็นสมาชิกกัน
    Frame Type : รูปแบบของ port เลือก admit all
    apply

    ทำให้ครบทุก port ที่ต้องการใช้งาน

    รูปภาพ

  6. ตั้งค่าสมาชิกที่สามารถเห็นโดย port ที่ต้องของ VLAN ไปที่เมนู
    VLAN Management -> Port to VLAN

    รูปภาพ


    เลือก VLAN ที่ต้องการ "10" กด Go
    VLAN 10 Port e1 ชื่อ FL1
    VLAN 10 :- มีสมาชิกเป็น
    พอร์ต e1,e24 มี PVID เป็น 10
    พอร์ต e1,e2,e3,e4,e24 แบบ Untagged
    Apply

    รูปภาพ


    เลือก VLAN ที่ต้องการ "20" กด Go
    VLAN 20 Port e1 ชื่อ FL2
    VLAN 20 :- มีสมาชิกเป็น
    พอร์ต e2 มี PVID เป็น 20
    พอร์ต e2,e24 แบบ Untagged
    Apply

    รูปภาพ


    เลือก VLAN ที่ต้องการ "30" กด Go
    VLAN 30 Port e1 ชื่อ FL3
    VLAN 30 :- มีสมาชิกเป็น
    พอร์ต e3 มี PVID เป็น 30
    พอร์ต e3,e24 แบบ Untagged
    Apply

    รูปภาพ


    เลือก VLAN ที่ต้องการ "40" กด Go

    VLAN 40 Port e1 ชื่อ FL4
    VLAN 40 :- มีสมาชิกเป็น
    พอร์ต e4 มี PVID เป็น 40
    พอร์ต e4,e24 แบบ Untagged
    Apply

    รูปภาพ

  7. ตรวจสอบ port ที่เป็น สมาชิก กันทั้งหมดอีกครั้งที่เมนู
    VLAN Management -> Port VLAN Membership

    รูปภาพ


    ค่าที่ได้ดังนี้
    e1 : Mode General : PVID 10 : เป็นสมาชิคของ 10U
    e2 : Mode General : PVID 20 : เป็นสมาชิคของ 10U,20U
    e3 : Mode General : PVID 30 : เป็นสมาชิคของ 10U,30U
    e4 : Mode General : PVID 40 : เป็นสมาชิคของ 10U,40U
    .
    .
    e24 : Mode General : PVID 10 : เป็นสมาชิคของ 10U,20U,30U,40U

    รูปภาพ

  8. หลังจากตั้งค่าเรียบร้อยให้ทำการ SAVE ทุกครั้ง

    รูปภาพ


    ระบบจะสอบถามการตั้งค่าว่าต้องการทำสิ่งใดบ้างตามด้านล่าง

    รูปภาพ






ข้อมูลสินค้าแบบมัลติมีเดีย (Multimedia)










จบบทความ

รายละเอียดการให้บริการจากทีมงาน SYS2U.COM Xpert Zone
SYS2U.COM 24-Hour Online IT Store
ซิสทูยู เฟสบุ๊ค - http://www.facebook.com/SYS2UOnline
ภาพประจำตัวสมาชิก
vit_et07
 
โพสต์: 1025
ลงทะเบียนเมื่อ: พุธ 01 ต.ค. 2008 10:30 am

Re: Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย mryare เมื่อ เสาร์ 10 ธ.ค. 2011 3:01 am

เยี่ยมมาก ๆ เลยครับ ผมเคยทำอีกแบบนึงใช้คำสั่ง protect port ทุก port เลยยกเว้น port ที่ต่อกับ router ให้ผลคล้าย ๆ กันอยากทราบข้อดีข้อเสียต่างกันยังไงครับ

ผมงงว่า PVID นี่หมายความว่าไงครับ เราจะใช้ในกรณีไหนบ้าง ทุกทีผมใช้แต่ tag untag สองอย่างเอง (อย่างอื่นทำไม่เป็น :? )

e1 : Mode General : PVID 10 : เป็นสมาชิคของ 10U
อันนี้คือ e1 เป็น port ที่อยู่ใน vlan 10 ใช่ใหม่ครับ

e2 : Mode General : PVID 20 : เป็นสมาชิคของ 10U,20U
แต่อันนี้เริ่มงงครับ port นี้วิ่งได้ทั้ง vlan 10 และ 20 เลยไหมครับ

ขอบคุณมากครับ
mryare
 
โพสต์: 16
ลงทะเบียนเมื่อ: อังคาร 11 พ.ค. 2010 9:48 am

Re: Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย sys2u เมื่อ อาทิตย์ 11 ธ.ค. 2011 9:58 am

mryare เขียน:เยี่ยมมาก ๆ เลยครับ ผมเคยทำอีกแบบนึงใช้คำสั่ง protect port ทุก port เลยยกเว้น port ที่ต่อกับ router ให้ผลคล้าย ๆ กันอยากทราบข้อดีข้อเสียต่างกันยังไงครับ

ผมงงว่า PVID นี่หมายความว่าไงครับ เราจะใช้ในกรณีไหนบ้าง ทุกทีผมใช้แต่ tag untag สองอย่างเอง (อย่างอื่นทำไม่เป็น :? )

e1 : Mode General : PVID 10 : เป็นสมาชิคของ 10U
อันนี้คือ e1 เป็น port ที่อยู่ใน vlan 10 ใช่ใหม่ครับ

e2 : Mode General : PVID 20 : เป็นสมาชิคของ 10U,20U
แต่อันนี้เริ่มงงครับ port นี้วิ่งได้ทั้ง vlan 10 และ 20 เลยไหมครับ

ขอบคุณมากครับ

  • เดี๋ยวรอคุณ vit_et07 มาตอบนะครับผม :D
SYS2U.COM 24-Hour Online IT Store
ซิสทูยู เฟสบุ๊ค - http://www.facebook.com/SYS2UOnline

ภาพประจำตัวสมาชิก
sys2u
Administrator
 
โพสต์: 4716
ลงทะเบียนเมื่อ: อังคาร 30 ก.ย. 2008 12:35 pm
ที่อยู่: SYS2U.COM Bangkok, Thailand.

Re: Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย vit_et07 เมื่อ อังคาร 13 ธ.ค. 2011 1:52 pm

mryare เขียน:เยี่ยมมาก ๆ เลยครับ ผมเคยทำอีกแบบนึงใช้คำสั่ง protect port ทุก port เลยยกเว้น port ที่ต่อกับ router ให้ผลคล้าย ๆ กันอยากทราบข้อดีข้อเสียต่างกันยังไงครับ

ผมงงว่า PVID นี่หมายความว่าไงครับ เราจะใช้ในกรณีไหนบ้าง ทุกทีผมใช้แต่ tag untag สองอย่างเอง (อย่างอื่นทำไม่เป็น :? )

e1 : Mode General : PVID 10 : เป็นสมาชิคของ 10U
อันนี้คือ e1 เป็น port ที่อยู่ใน vlan 10 ใช่ใหม่ครับ

e2 : Mode General : PVID 20 : เป็นสมาชิคของ 10U,20U
แต่อันนี้เริ่มงงครับ port นี้วิ่งได้ทั้ง vlan 10 และ 20 เลยไหมครับ

ขอบคุณมากครับ



VLAN แบบ แยกที่ port กันออก ไม่ให้เห็นกันอยู่แล้ว ก็ใช้แค่ Untag , tag ไป ว่าให้ port ไหนเจอกันและ port ไหนเป็นตัวเป็น tag แปะเฟรมออกไปเท่านั้นส่วน

PVID : เป็นการกำหนดสมาชิคของ port ที่เราสร้างจาก VLAD ID ขึ้นมา เหมือนกับเป็นกลุ่มๆ นึงขึ้น เพื่อเวลาเราทำ untag ที่port ให้เจอกันแต่ก็ยังไม่สามารถข้ามาเห็นได้ถ้าไม่ได้อยู่ใน PVID เดียวกันครับ
SYS2U.COM 24-Hour Online IT Store
ซิสทูยู เฟสบุ๊ค - http://www.facebook.com/SYS2UOnline
ภาพประจำตัวสมาชิก
vit_et07
 
โพสต์: 1025
ลงทะเบียนเมื่อ: พุธ 01 ต.ค. 2008 10:30 am

Re: Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย jameslifestudio เมื่อ อังคาร 22 ต.ค. 2013 1:10 pm

สวัสดีครับ ผมได้ลองทำตามตัวอย่างแล้วครับ จะเห็นว่าแต่ล่ะ Vlan จะรับเอา IP DHCP ของ Router มาใช้งาน ซึ่งได้มาจาก Port GE24
ซึ่งตรงนี้ผมอยากจะขอคำแนะนำว่า ถ้่าจะกำหนด IP ให้กับแต่ล่ะ VLan จะสามารถทำได้ไม่ ถ้าทำได้ขอคพแนะนำในการทำด้วยครับ
ตัวอย่างเช่น

VLan: 10
IP Address : 192.168.10.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.10.1

VLan: 20
IP Address : 192.168.20.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.20.1

Router:
IP Address : 192.168.1.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1

ขอคำแนะนำด้วยน่ะครับ ของคุณครับ
jameslifestudio
 
โพสต์: 1
ลงทะเบียนเมื่อ: อังคาร 22 ต.ค. 2013 11:55 am

Re: Solution #2 : การแบ่ง VLAN แบบ Port ไม่ให้สามารถมองเห็นกัน

โพสต์โดย vit_et07 เมื่อ อังคาร 22 ต.ค. 2013 4:37 pm

jameslifestudio เขียน:สวัสดีครับ ผมได้ลองทำตามตัวอย่างแล้วครับ จะเห็นว่าแต่ล่ะ Vlan จะรับเอา IP DHCP ของ Router มาใช้งาน ซึ่งได้มาจาก Port GE24
ซึ่งตรงนี้ผมอยากจะขอคำแนะนำว่า ถ้่าจะกำหนด IP ให้กับแต่ล่ะ VLan จะสามารถทำได้ไม่ ถ้าทำได้ขอคพแนะนำในการทำด้วยครับ
ตัวอย่างเช่น

VLan: 10
IP Address : 192.168.10.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.10.1

VLan: 20
IP Address : 192.168.20.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.20.1

Router:
IP Address : 192.168.1.xxx
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1

ขอคำแนะนำด้วยน่ะครับ ของคุณครับ


ไม่ทราบว่าใช้รุ่นไหน ครับ ปกติตัว Switch L2 ทำไม่ได้ครับ ต้องเป็น L3 แบบ Dynamic ด้วยครับถึงสามารถแจก DHCP ให้ได้ เพราะถ้าเป็นแบบ L3 Static ต้อง Static วงเอาเองครับ แล้วถ้าต้องการให้วงไหนเจอกันก็มาเปิด Routing เอาครับ
เพราะส่วนมาก ที่เป็น L3 Static จะต้องหา Router มาแจก ip ให้ครับ
SYS2U.COM 24-Hour Online IT Store
ซิสทูยู เฟสบุ๊ค - http://www.facebook.com/SYS2UOnline
ภาพประจำตัวสมาชิก
vit_et07
 
โพสต์: 1025
ลงทะเบียนเมื่อ: พุธ 01 ต.ค. 2008 10:30 am


ย้อนกลับไปยัง ติดตั้ง ปรับแต่งอุปกรณ์ Cisco Linksys ประเภท Switch ทุกรุ่น SDXXXX, SRXXX, SRWXXX

ผู้ใช้งานขณะนี้

่กำลังดูบอร์ดนี้: ไม่มีสมาชิกใหม่ และ บุคคลทั่วไป 1 ท่าน

cron