Transcript พอร์ท Trunk เชื่อมต่อ

VLAN
and
Trunking
 Broadcast Domain
 แบ่ง VLAN ตามพอร์ ท Access สมาชิก
 การใช้ ลงิ ค์ Trunk แชร์ ข้อมูลหลาย VLAN ระหว่าง
สวิตช์
6-1
Destination MAC (Broadcast)
Flood!
Payload
FF-FF-FF-FF-FF-FF ARP Request
Fa0/1
Fa0/3
Fa0/2




บริ เวณที่บรอดคาสต์เฟรม (FF-FF-FF-FF-FF-FF) ส่งไปทัว่ ถึง
เช่น ที่อยู่ปลายทางกายภาพของเฟรม ARP request
ยิ่งกว้ าง Broadcast Frame ยิ่งกระจายมาก Bandwidth รวมถูกใช้ เปลือง
Broadcast Domain = LAN = VLAN = Subnet คือ เป็ นหน่วยของเครื อข่ายทังสิ
้ ้น
6-2
การแบ
่งเครื่ายแลนเสมื
อข
อน
 ฟี เจอร์ ของ Switch ที่แบ่ง Broadcast
Domain ได้ ด้วยตนเอง (ทางานบน
Layer2 ไม่ต้องอาศัยอุปกรณ์ Layer3
มาแบ่งให้ )
 โดยการสร้ าง VLAN แล้ วนา
อินเตอร์ เฟสของตนแบ่งเข้ าเป็ นสมาชิก
แต่ละ VLAN
VLAN
1
แบ่ง Broadcast
Domain ทางลอจิคลั
VLAN
10
VLAN
20
6-3
การแบ
่งเครื
่ายแลนเสมื
อ
ข
อ
น
 ประโยชน์ของการแบ่ง VLAN
 ใช้ แบนด์ วิธคุ้มค่ าขึน้ โดยลดความหนาแน่นของ Broadcast Frame
 เพิ่มความปลอดภัย โดยจากัดการเข้ าถึงข้ าม VLAN ด้ วยฟี เจอร์
Layer3 เช่น ACL
 จากัดความเสียหายแค่ VLAN เดียว เช่น ผลของ Layer2 Loop
หรื อแอพพลิเคชัน่ ที่ใช้ การสื่อสารแบบ Broadcast มีปัญหา
6-4
SW3
B
SW2
Trunk Port
Access
Port
A
SW1
 เพื่อใช้ VLAN ร่วมกันระหว่าง
Switch คนละตัว เช่น
สานักงานคนละชัน้ หรื อ
ระหว่างอาคาร
 ทาให้ Switch แต่ละตัวใช้
VLAN ร่วมกันได้ โดยทา
Trunking ซึง่ เป็ นการแบ่ง
พอร์ ตของ Switch เป็ น 2
แบบ: พอร์ ท Access และ
พอร์ ท Trunk
VLAN 10
Dst. Src. 08 00
MAC MAC EtherT.
6B
6B
VLAN 20
CRC
Payload
2B
VLAN 30
32 bit
46 – 1,500 B
4B
SW1 ติด VLAN Tag เพื่อส่งไปยังเครื่ อง B ใน
VLAN เดียวกัน ผ่าน Trunk Port --> SW2
Dst. Src. 81 00
MAC MAC EtherT.
6B
6B
2B
VLAN 10
Tagged
08 00
EtherT.
Payload
2B
2B
46 – 1,500 B
6-5
CRC
32 bit
4B
SW3
SW2
Access
Port
Trunk Port
SW1
SW1
VLAN 10
 พอร์ ท Access
VLAN 20
VLAN 30
 พอร์ ท Trunk
 เชือ่ มต่อ: Switch กับเครื่ องโฮส
 ชนิ ดเฟรม: เฟรมข้ อมูลธรรมดา
 EtherType: ขึ ้นกับ Payload เช่น 0x0800
 เชือ่ มต่อ: Switch ด้ วยกัน หรื ออุปกรณ์ที่อ่าน
VLAN Tag ได้
 ชนิ ดเฟรม: เฟรมติดฉลาก (Tagged) เลข VLAN
 EtherType: 0x8100 แล้ วตามด้ วย Tag อีก 2
ไบต์ (โปรโตคอล 802.1Q) + EtherType ของ
Payload ต่อ
6-6
SW3
SW2
Trunk Port
SW1
 เป็ น VLAN เลขที่ตกลงกันกับพอร์ ท Trunk ทังสองฝั
้
่ งว่า ไม่ต้องติด VLAN Tag
 มักใช้ กบั การส่งเฟรมที่ใช้ บริ หารจัดการเครื อข่าย
 ใช้ เป็ นหลักในการรักษาความปลอดภัยว่า ควรเปลี่ยนค่าเลข VLAN ที่เป็ น Native จากเลข
ดีฟอลท์ (VLAN 1) เป็ น VLAN อื่น
6-7
 คอยเจรจาให้ พอร์ ทสวิตช์ฝั่งตรงข้ ามตังค่
้ าเป็ น Trunk Port ด้ วย เพื่อความสะดวกในการ
ตังค่
้ า (ไม่ต้องไปเสียเวลาตังค่
้ าบนสวิตช์ฝั่งตรงข้ ามเพิ่มอีก)
 โดยกาหนดสถานะ DTP ของพอร์ ทสวิตช์ แบ่งเป็ น 2 กลุม่ คือ
 กลุม่ สถานะตายตัว เกิดจากการตังค่
้ าบังคับพอร์ ทนันให้
้ เป็ น Trunk หรื อ Access
 สถานะ on: ตังค่
้ าพอร์ ทนันเป็
้ น Trunk เอง
 สถานะ off: ตังค่
้ าพอร์ ทนันเป็
้ น Access เอง
 กลุม่ สถานะที่เปลี่ยนได้ (Dynamic) เป็ นสถานะที่รอการเจรจาจากพอร์ ทฝั่ งตรงข้ าม
 สถานะ auto(ค่ าดีฟอลท์ ): เตรี ยมตัวจะเป็ น Trunk เมื่อฝั่ งตรงข้ ามตังค่
้ าเป็ น
พอร์ ท Trunk (on) ขึ ้นมา
 สถานะ desirable: คือนอกจากจะกลายเป็ น Trunk เมื่อฝั่ งตรงข้ าม on แล้ ว
ยังกลายเป็ น Trunk พร้ อมกันกับฝั่ งตรงข้ ามได้ อีก ถ้ าฝั่ งตรงข้ ามตังโหมดเป็
้
น
desirable เหมือนกัน หรื อเป็ นโหมด auto
6-8
Access
Trunk
On
auto
(Trunk)
(Default)
auto
(Default)
auto
(Default)
Access
Trunk
Desirable
auto
Off
(Access)
(Default)
Trunk
Off
(Access)
Desirable Desirable
auto
Access
Desirable
6-9
 DTP จะเจรจาได้ สวิตช์ทงสอง
ั้
“ต้ องอยู่บน VTP
Domain เดียวกันเท่ านัน้ ”
 เพื่อหลีกเลี่ยงปั ญหาคนละ VTP Domain
จะต้ องสร้ าง Trunk แบบ Manual (ตังค่
้ า
Nonegotiate)
 ตามหลักความปลอดภัย ต้ องปิ ด DTP บนพอร์ ตที่ไม่
ต้ องการให้ สร้ าง Trunk ภายหลัง (ด้ วยการสัง่
Nonegotiate เช่นกัน) เพื่อป้องกันการโจมตีแบบ
VLAN Hopping
6-10