Chapter6 (3) : ศึกษา Protocol ที่เกี่ยวข้อง (VQP)...

VLAN Query Protocol (VQP) คือ Protocol หลักที่ใช้ในการส่งข้อมูล ซึ่ง VQP นี้ใช้ UDP port 1589 VQP ถูกพัฒนาขึ้นโดย Cisco โดยอนุญาตให้อุปกรณ์ภายนอกที่อยู่ในวงแลนเดียวสามารถใช้ Network ได้ผ่าน Mac Address ของแต่ละเครื่อง และ VLAN ที่เหมาะสม โดยผ่าน VMPS, VQP เป็นโปรโตคอลที่ทาง Cisco พัฒนา ซึ่งในปัจจุบันนี้ได้พัฒนาให้สามารถรองรับการจัดการ VLAN 802.1x โดยใช้ MAC Address นั้น ๆ

เมื่อต่ออุปกรณ์เข้ากับ port ของ Switch และ Set ให้เป็น VMPS Client แล้ว VMPS Client จะเริ่มทำการรอ Packet Data จากนั้นจะ Encapsulate และ Rebroadcast Packet แรกของ Data และจัดเก็บเข้าไปใน VQP Packet ที่ส่งไปยัง VMPS Server port udp/1589 VMPS Server จะเลือกส่งสัญญาณ 4 แบบคือ Allow, Deny, Shutdown, Wrong Domain จากนั้น Switch จะระบุ Port ที่เหมาะสมให้กับ VLAN และจะเปลี่ยน state ของ port เพื่อให้ยืนยันการส่งอีกครั้ง จากนั้นจะปิด port จนกระทั่งมีอุปกรณ์อื่นมีการต่อเพิ่มเข้ามา หรือเมื่อเกิด error ขึ้น ผลลัพธ์ที่ได้คือ Domain name ใน VMPS file ต้องตรงกับ VTP Domain name

เมื่อ VLAN ต้องการให้ยืนยันการส่งอีกครั้ง ก็จะทำแบบเดียวกันกับตอน Confirm โดยมีข้อยกเว้นคือจะยกเว้น port ที่มีการระบุ VLAN ใน VQP Packet mมีการใช้อยู่ การยินยันอีกครั้งจะเสร็จสิ้นก็ต่อเมื่อการตั้งค่าใน Client Switch หรือถูกสั่งให้ทำโดย command line switch

VQP Protocol ไม่มีการ checksum, encryption หรือ authentication ทั้งฝั่ง client และ switch เนื่องจากไม่มีการรวมขั้นตอนการส่ง message ไปยัง server ว่าอุปกรณ์มีเขาดการเชือมต่อ

ตัวอย่างต่อไปนี้เป็นตัวอย่างที่แสดงถึงขั้นตอนสำคัญในการทำ DVLAN membership process และการจัดการ Mac Address ให้กับ VLAN ที่ต่าง ๆ กัน

• คอมพิวเตอร์ส่ง Frame ไปยัง Switch
  VMPS Client จำค่า PC Mac Address จาก dynamic port


• VMPS Client ส่งคำร้อง VQP ไปยัง VMPS ประกอบด้วย IP Address, PC Mac Address, PC Port Number และ VTP Domain


• VMPS ส่งค่าไปยัง database เพื่อทำ VLAN


• VMPS ส่ง VQP response ไปยัง VMPS Client


• ถ้า VQP Response มีการทำ VLAN assignment แล้ว VMPS Client จะสามารถระบุ VLAN ได้ มิฉะนั้น client จะปฏิเสธการเข้าถึง PC

หลังจากทำการ Set Cisco Switch กับ FreeNAC ให้รู้จักกันแล้วทำการ Test โดยนำ Notebook เสียบสาย LAN เข้าที่ Port Switch ที่ถูก set ไว้ให้รับ Dynamic VLAN แล้วทำการใช้ Program WireShark จับ Packet ที่ LAN Card ของเครื่อง FreeNAC Server จะเห็น IP ของ Switch คุยไปหา IP ของ Server ผ่าน UDP Protocol โดยเรียกหา Destination port ที่เป็น VQP และ Server ก็จะทำการตอบกลับด้วย Port VQP กลับมายัง IP ของ Switch

ภาพแสดง Packet การเรียกขอ VQP Protocol จาก Switch

Chapter6 (2) : ศึกษา Protocol ที่เกี่ยวข้อง (VMPS)

a VLAN Management Policy Server Vmps (หรือ VMPS) คือ อุปกรณ์ Switch ที่บรรจุข้อมูลการจับคู่ระหว่างอุปกรณ์ปลายทางกับ VLAN

VMPS คือเป็น Protocol เฉพาะของ Cisco เพื่อใช้ในการจัดการ Network โดยมีระบบจะจัดการผู้ใช้ที่จะเชี่อมต่อ Network โดยจะทำการแยกผู้ใช้ที่ไม่รู้จัก Mac Address ออกซึ่งจะระบบความปลอดภัยนี้จะถูกจัดการโดย Protocol ที่ ใช้งานผ่านอุปกรณ์ Cisco

โดย Client Switch จะทำการส่งข้อมูลไปที่ VMPS Server โดยใช้ VLAN Query Protocol หรือ VQP ซึ่งเทคโนโลยีนี้มีเพียง Cisco ที่สามารถผลิตอุปกรณ์ที่มีระบบ VMPS ซึ่งสามารถสนับสนุนการใช้ข้าม IOS Switch ซึ่ง Cisco ได้ผลิต Switch รุ่น 4000, 5000, และ 6500 (ด้วย Firmware ที่เหมาะกับ Server) ซึ่งสามารถใช้เป็น VMPS Server แต่ Switch เหล่านี้ก็ยังมี function การทำงานที่จำกัดคือสามารถสนับสนุนได้เพียง Text file เท่านั้น

จำนวนของ VMPS Server จะช่วยเพิ่มประสิทธิภาพในการติดต่อกับ SQL และโปรแกรมภายนอก และช่วยพิจารณาการส่งคำร้องไปยัง Server ต่อไป VMPS ดังกล่าวคือ OpenVMPS ซึ่งผลิตโดย Dori Seliskar และทีมงาน OpenVMPS ประกอบด้วย FreeRADIUS, FreeNAC และ Icarus VMPSd รวมไปถึงเครื่องมือในการจัดการ MAC Address ของผู้ใช้ต่าง ๆ


FreeNAC ได้ออกเป็น OpenSource ซึ่งได้รวมเอา OpenVMPS สำหรับการติดต่อไปยัง Switch, Database, สามารถจัดการระบบได้ด้วยตนเอง, การออกรายงานและการทำ SNMP เพื่อทำให้ VMPS สามารถใช้งานได้ง่ายและสามารถใช้งานได้ใน Environment ที่แตกต่างกันออกไป


How NAC works: vmpsmode

ภาพแสดงลำดับเหตุการณ์ต่างๆใน ‘vmps mode’

Chapter5 : Review FreeNAC

The FreeNAC Web GUI

NAC Web interface สามารถแสดงข้อมูลต่างๆ ที่อยู่ใน FreeNAC Server ได้ดังต่อไปนี้

1. End-Devices Menu

o สามารถดูข้อมูลของอุปกรณ์ปลายทางที่เข้ามาต่อเชื่อมทั้งหมด และสามารถที่จะคลิ๊กเข้าไปทำการ view, edit, restart port หรือ delete อุปกรณ์ได้

o สามารถเพิ่มอุปกรณ์ใหม่เข้าระบบได้


2. Reports Menu

o สามารถแสดงข้อมูลของ Port Switch ที่มีในระบบและ Port ที่ถูกใช้งาน

o สามารถแสดง Report สถิติการใช้งานของ Port Switch เป็นกราฟได้

o สามารถแสดงสถิติของ VLAN เป็นกราฟได้

3. Configuration Menu

o แสดงรายละเอียดของ Switch ในระบบ (Switch name, IP Address และอื่นๆ)

o แสดงรายละเอียดของพอร์ต Switch ที่มีการใช้งาน

4. Monitoring Menu

o สามารถ Monitor สถานะของเครื่อง Server ได้

o สามารถแสดง Server Summary Log ได้


o สามารถแสดง Web GUI log ได้



5. Help Menu

สำหรับช่วยให้ผู้ใช้งานสามารถหาข้อมูลเพิ่มเติมได้ เกี่ยวกับ FreeNAC ได้ ซึ่งประกอบด้วย User Guide, Install Guide, Technical Guide, FAQ, Forum และ Website ต่างๆ ของ FreeNAC

Chapter6 (1) : ศึกษา Protocol ที่เกี่ยวข้อง (SNMP)

SNMP (Simple Network Management Protocol)

SNMP เป็น Network Management Protocol ตัวหนึ่งซึ่งทำงานในระดับ Application Layer ใช้สำหรับการบริหารจัดการเครือข่าย โปรโตคอลนี้เป็นส่วนหนึ่งในชุดโปรโตคอล TCP/IP ซึ่งช่วยให้ผู้ดูแลระบบสามารถจัดการประสิทธิภาพ, วิเคราะปัญหา และให้ข้อมูลเพื่อใช้สำหรับวางแผนเครือข่ายในอนาคต
SNMP ใช้แนวคิดของผู้จัดการ (Manager) และตัวแทน (Agent) ซึ่ง Manager นั้นส่วนใหญ่จะเป็น Host (PC) ซึ่งควบคุมและติดตามกลุ่มของ Agent มักจะเป็น Router
SNMP เป็นโปรโตคอลที่ทำงานในระดับ Application Layer ซึ่งอาจจะมี 1 หรือ 2-3 สถานีควบคุมของ manager ที่ควบคุมกลุ่มของ agent โปรโตคอลนี้ออกแบบมาทำงานชั้น Application ดังนั้นมันจึงสามาถติดตามควบคุมอุปกรณ์ที่ผลิตมาต่างกัน และการติดตั้งทางกายภาพที่ต่างกัน SNMP มีความเป็นอิสระในการจัดการงานจากทั้งคุณลักษณะทางกายภาพของอุปกรณ์ที่ถูกจัดการ และภายใต้เน็ตเวิร์กเทคโนโลยี มันสามารถใช้ในระบบเน็ตเวิร์กที่ไม่เหมือนกันของการเชื่อมต่อ LANs และ WANs โดย Router ซึ่งมีการผลิตที่ต่างกัน

ซึ่งสรุปการบริหารจัดการเครือข่ายโดย SNMP จะกระทำบน 3 แนวคิดพื้นฐานดังนี้
1. Manager จะร้องขอข้อมูลกับ Agent และทำการตรวจสอบพฤติกรรมของ Agent จากข้อมูล
ที่ส่งกลับมา
2. Manager สั่งให้ Agent ดำเนินการทำงานโดยทำการเปลี่ยนค่าใหม่ ใน Database ของ Agent
3. Agent สามารถที่จะช่วยเหลือกระบวนการบริหารจัดการโดยนส่งข้อความไปเตือนManager
ถ้ามีสถานะการที่ไม่ปกติเกิดขึ้น



SNMP Packet-Switched Data Networks

ใน SNMPv3 ได้กำหนดประเภทของ Packet (หรือ PDU) ไว้ 8 ประเภทด้วยกัน คือ GetRequest, GetNextRequest, GetBulkRequest, SetRequest, Response, Trap and Report

รูปแสดง SNMP UDPs

§ GetRequest ใน GetRequest PDU จะส่งจาก Manager ไปยัง Agent เพื่อบอกว่า Manager ต้องการทราบข้อมูลอะไรจาก Agent ซึ่งกำหนดโดย Object Identifier ที่ส่งไปพร้อมกับ Message เช่น Manager ระบุ Object Identifier เป็น 1.3.6.1.2.1.1.1.0 ซึ่งเป็นการระบุว่าต้องการทราบข้อมูล sysDescr หรือส่วนของรายละเอียดของอุปกรณ์ที่ตัว Agent ทำงานอยู่ ซึ่งทาง Agent ก็จะตอบข้อมูลรายละเอียดของอุปกรณ์ตัวที่มันทำงานอยู่กลับมา

§ GetNextRequest ใน GetNextRequest PDU จะส่งจาก Manager ถึง Agent ในการที่จะเอาค่าตัวแปร โดยค่าที่ได้จะเป็นค่าของ Object ตัวต่อจาก Object ID ตัวที่กำหนดใน PDU ส่วนใหญ่มักจะใช้ในการเอาค่าของการเข้าไปตาราง ถ้า Manager ไม่รู้ index ของการเข้ามันจะไม่สามารถดึงค่าออกมาได้ แต่เราใช้ GetNextRequest และกำหนด Object ID ของตารางเพราะ entry ตัวแรกจะต่อจาก Object ID ของตารางทันที ก็จะได้ค่าของ First entry ตัวแรกกลับมา Manager สามารถใช้ Object ID นี้ในการเอาค่าของตัวถัดไปเรื่อย ๆ ตัวอย่างเช่น Manager ส่ง GetNextRequest ที่ให้ Object Identifier เป็น 1.3.6.1.2.1.1 ซึ่งเป็นการเข้าถึงกลุ่ม System ใน MIB โดยที่ไม่ได้ระบุว่า ต้องการ ทราบข้อมูลอะไรในกลุ่ม System ดังนั้นเมื่อเวลาที่ Agent ส่ง GetResponse กลับมาให้มันก็จะส่งค่าของ Object Identifier เป็น 1.3.6.1.2.1.1.1.0 ซึ่งก็คือค่าของ SysDescr ที่อยู่ในกลุ่ม System ซึ่งเป็นค่าของ Object Identifier ตัวถัดไปใน Tree นั่นเอง

§ GetbulkRequest ใน GetbulkRequest PDU นั้นจะส่งจาก Manager ไปที่ Agent ในการที่จะเอาค่าของข้อมูลจำนวนมาก มันสามารถใช้ GetRequest หรือ GetNextRequest หลาย ๆ ครั้งแทนได้

§ SetRequest ใน SetRequest PDU ส่งจาก Manager ไปที่ Agent ในการ Set (Store) ค่าลงในตัวแปร หรือเปลี่ยนแปลงค่า Configuration ต่าง ๆของข้อมูลใน MIB ของอุปกรณ์นั้น ๆ

§ Response ในResponse PDU ส่งจาก Agent มาทื่ Manager ในการตอบสนอง GetRequest หรือ GetNextRequest ซึ่งจะบรรจุค่าของตัวแปรที่ร้องขอโดย Manager

§ Trap ใน Trap PDU (เรียก SNMPv2 Trap เพื่อให้ต่างจาก SNMPv1 Trap) ส่งจาก Agent ไปสู่ Manager เพื่อรายงานเหตุกาณ์ตัวอย่าง เช่น ถ้า Agent ทำการรีบูต (Reboot) ก็จะแจ้ง Manager และรายงานเวลาที่ทำการรีบูต

§ InFormRequest ใน InFormRequest PDU จะส่งจาก Manager ตัวหนึ่งไปยัง Manager ตัวอื่น ๆ ที่อยู่ไกลออกไป เพื่อรับค่าของตัวแปรบางตัวจาก Agent ภายใต้การควบคุมของ Manager ที่อยู่ไกลออกไปนั้น ซึ่ง Manager ที่อยู่ไกลออกไปนั้นจะตอบสนองมาด้วย Response PDU

§ Report ใน Report PDU ออกแบบมาเพื่อรายงานข้อผิดพลาดบางประเภทระหว่าง Manger ด้วยกัน

ภาพแสดง Protocol SNMP capture จาก Program Wireshark

Chapter4 : เริ่มติดตั้ง FreeNAC

ติดตั้ง FreeNAC ด้วย VMware

เนื่องจาก FreeNAC ค่อนข้างซับซ้อน และ ต้องการเครื่องที่รันบน Linux และ มี tools OpenSource ต่างๆ ที่จะต้องติดตั้งมากมาย

ทาง Freenac.net จึงได้สร้าง Virtual Machine (VM) สำหรับ FreeNAC ไว้เพื่อให้ง่ายสำหรับคนที่ต้องการจะเริ่มต้นทดสอบการใช้งาน FreeNAC ซึ่งตัว VM
นี่ download ได้ที่ Freenac.net

การติดตั้ง VM
1. ติดตั้ง Program VMware Workstation (หรือ free VMware Player)
3. ทำการแตกไฟล์ FreeNAC_VM ที่ download ได้และเก็บใน Folder ที่ใช้เก็บไฟล์ VM
4. เริ่มต้นใช้งาน run FreeNAC_VM บน VMware Workstation
5. FreeNAC_VM จะเป็น Linux Ubuntu 8.04


6. ทำการ Login โดยใช้ username: freenac และ password: freenac

ึ7. โดย default keyboard จะเป็นภาษา Swiss German โดยสามารถเข้าไปแก้ไขได้โดยใช้คำสั่ง

dpkg-reconfigure -plow console-setup

8. เข้าไปทำการดู IP address ของ FreeNAC ของเครื่องได้จากคำสั่ง

ifconfig –a

ซึ่ง default จะ set เป็น DHCP มาให้

ทำการแก้ไขโดยเรียกไฟล์ /etc/network/interfaces ขึ้นมาแก้ไขและทำการ save โดยใช้คำสั่ง

sudo vi /etc/network/interfaces

auto eth0
iface eth0 inet dhcp

แก้ไขให้เป็น IP static ตามนี้

auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.1

save file และทำการ restart network service โดยคำสั่ง

/etc/init.d/networking restart

ทำการเชื่อมต่อกับ Web Interface

1. เปิด web browser และพิมพ์ IP ของ VM ที่ set ไว้ ในที่นี้คือ 192.168.1.100
2. web page จะแสดงหน้าจอ web GUI ของ FreeNAC ซึ่งเป็นหน้าจอสำหรับจัดการระบบ NAC

Set ค่า cisco switch ให้รู้จักกับ NAC Server

1. Set VMPS parameters ที่ switch ตามนี้

conf t
vmps server 192.168.1.100
vmps reconfirm 120
end
vmps reconfirm
sho vmps

2. เปิด VMPS บน port ของ switch โดยใช้คำสั่ง

conf t
int fa0/2
switchport access vlan dynamic

ทำการ Set port fast ethernet 2 ให้รับ dynamic vlan

ตัวอย่างแสดงการ config parameter ที่ switch

1. Set up ค่า SNMP บน Switch ตามนี้

conf t
snmp-server group secure v3 auth read secure-ro write secure-rw access 1
snmp-server view secure-ro internet included
snmp-server view secure-wr mgmt included
snmp-server user snmpusr secure v3 auth md5 cisco123 access 1

access-list 1 permit host 192.168.1.100
access-list 1 deny any log

2. Setup ค่า SNMP บน NAC Server ตามนี้

ใส่ค่า SNMP RO/RW communities ที่ set ไว้ใน Switch ลงใน NAC Server โดยเข้าไปแก้ไขในไฟล์ /opt/nac/etc/config.inc

sudo vi /opt/nac/etc/config.inc

หาบรรทัดต่อไปนี้

## SNMP communities
$snmp_ro="PASSWORD2"; # maybe public
$snmp_rw="PASSWORD3"; # very private
$router_ro="PASSWORD4"; #For router_mac_ip script. If empty, use snmp_ro defined above

แล้วแก้ไขให้เป็นตามนี้

## SNMP communities
$snmp_ro="secure-ro"; # maybe public
$snmp_rw="secure-rw"; # very private
$router_ro="secure-ro"; #For router_mac_ip script. If empty, use snmp_ro defined above

ทำการ Test การทำงานของ SNMP ใน NAC Server โดยใช้คำสั่งดังนี้

snmpwalk -v 3 -u snmpusr -l authNoPriv -a MD5 -A cisco123 192.168.1.10 system

snmpwalk -v 3 -u snmpusr -l authNoPriv -a MD5 -A cisco123 192.168.1.10 sysUpTime


หลังจากที่ Switch สามารถติดต่อกับ NAC Server ผ่านทาง SNMP ได้แล้ว ใช้ Program Wireshark จับ Packet เพื่อศึกษาการทำงานของ Protocol ต่างๆ

Chapter3 : รู้จักกับ Virtual LAN

รู้จักกับ Virtual LAN

ตัวอย่างรูปการแบ่งพื้นที่การใช้งาน

Virtual LAN หรือ VLAN เหมือนการสร้าง logical segment สวิสต์ตัวหนึ่งสามารถแบ่งออกมาเป็นหลายๆ vlanได้ เหมือนมีswitchหลายตัวหรือมีhubหลายตัว แต่จริงๆมีแค่ตัวเดียวแล้วก็แบ่งซอยออกมา โดยมากแบ่งตามพื้นที่ใช้งาน แบ่งตามแผนก แบ่งตามหน่วยงาน แบ่งตามลักษณะการใช้งาน การจำลองสร้างเครือข่าย LAN แต่ไม่ขึ้นอยู่กับการต่อทางกายภาพเช่น สวิตช์หนึ่งตัวสามารถใช้จำลองเครือข่าย LAN ได้สิบเครือข่าย หรือสามารถใช้สวิตช์สามตัวจำลองเครือข่าย LAN เพียงหนึ่งเครือข่าย เป็นต้น การแบ่งกลุ่มของสวิตซ์ภายในเลเยอร์ 2 ที่ไม่ขึ้นกับ ลักษณะทางกายภาพใดๆ กล่าวแบบง่ายๆ ก็คือ เราไม่จำเป็นที่จะต้องนำสวิตซ์มาต่อกันเป็น ทอดๆ เพื่อจัดกลุ่มของสวิตซ์ว่า สวิตซ์กลุ่มนี้คือ กลุ่มเดียวกัน แต่ เราสามารถที่จะ จัดกลุ่มให้ สวิตซ์ที่อยู่ห่างไกลกันออกไปนั้น เป็นสมาชิกของสวิตซ์อีกกลุ่มหนึ่งทางแนวตรรกกะ

ชนิดของ VLAN โดยค่าดีฟอล์ท (Default) ทุกๆ พอร์ทของสวิตซ์นั้น จะถูกจัดให้อยู่ใน VLAN 1 หรือ ที่เรียกกันว่า “Management VLAN” ซึ่ง ในการสร้าง-แก้ไข-ลบ VLAN นั้น เราจะไม่สามารถลบ VLAN 1 นี้ได้ และ หมายเลข VLAN นี้ สามารถสร้างได้ตั้งแต่หมายเลข 1 – 1005

Static
สแตติก VLAN หรือ อีกชื่อหนึ่งคือ Port-Based Membership นั้น จะเป็นการพิจารณาความเป็นสมาชิกของ VLAN หนึ่งๆ โดยดูจากพอร์ท ซึ่งพอร์ทของสวิตซ์ที่เชื่อมต่ออยู่กับ Client นั้น ถึงแม้ว่าจะเป็น พอร์ทของสวิตซ์เดียวกัน แต่หากพอร์ททั้งสองนั้นอยู่คนละ VLAN กัน ก็ไม่สามารถที่จะติดต่อกันได้ หากไม่มีอุปกรณ์ในเลเยอร์ 3 มาช่วยในการเราท์ทราฟฟิก ซึ่ง การเซตพอร์ทแต่ละพอร์ทให้เป็นสมาชิกของ VLAN ใดๆ นั้น จะถูกกระทำแบบ Manual จาก System Administrator

ตัวอย่างรูปการคอนฟิกแบบ Dynamic

Dynamic

ไดนามิค VLAN เป็นการกำหนด VLAN ให้กับเครื่องClient โดยพิจารณาจากหมายเลข MAC Address ของ Client ซึ่งเมื่อ Client ทำการเชื่อมต่อไปยังสวิตซ์ตัวใดๆ สวิตซ์ที่รัน Dynamic VLAN นี้ก็จะไปหาหมายเลข VLAN ที่ MAP กับ MAC Address นี้จาก Database ส่วนกลางมาให้ ซึ่ง System Administrator สามารถที่จะเซตหมายเลข MAC Address ในการจับคู่กับ VLAN ได้ที่ VLAN Management Policy Server (VMPS)
ซึ่งการทำ เช่นนี้ จะทำให้ไม่ต้องกำหนด หมายเลข Port อย่างเฉพาะเจาะจง แก่ VLAN นั้น หมายความว่า ผู้ใช้จะอยู่ Port ใด ก็ได้ ที่ใดก็ได้ จะเคลื่อนย้าย หรือเปลี่ยน Port ก็ได้ การทำเช่นนี้ จะทำให้เกิดความสะดวก เนื่องจาก ท่านไม่ต้องเกรงว่า จะมีใครมาโยกย้าย สาย LAN ไปอยู่ Port อื่น โดยพละการ ทำให้ยากแก่การบริหารจัดการ ดังนั้น การใช้ Dynamic VLAN จะมีประโยชน์ยิ่ง


ข้อดีและข้อเสียของการทำ VLAN

ข้อดีของการทำ VLAN
1.เพิ่มประสิทธิภาพของเครือข่าย จำกัดการแพร่กระจายของbroadcastทราฟฟิคไม่ให้ส่งผลกระทบต่อประสิทธิภาพโดยรวมของเน็ตเวิร์ก
2.ง่ายต่อการใช้งาน ผู้ใช้งานสามารถที่จะเคลื่อนย้ายไปยัง VLAN (Subnet) อื่นๆ ได้โดยเพียงแค่การเปลี่ยนคอนฟิกของสวิตซ์และ IP Address ของ Client เพียงนิดเดียว ไม่จำเป็นต้องมีการย้ายสวิตซ์ หรือสายเคเบิลใดๆ
3.เพิ่มเครื่องง่าย สามารถรองรับการขยายตัวของระบบเน็ตเวิร์กที่จะเพิ่มขึ้นในอนาคตได้ง่าย เนื่องจากมีการวางแผนเกี่ยวกับการทำซับเน็ต และการดีไซน์ระบบที่ไม่ยึดติดกับทางกายภาพอีกต่อไป
4.เพิ่มเรื่องของความปลอดภัย สามารถสร้างกลไกด้านความปลอดภัยได้ง่ายขึ้น เช่น การสร้าง Access Control List บนอุปกรณ์เลเยอร์ 3 และ ลดความเสี่ยงเกี่ยวกับการดักจับข้อมูล (Sniffing)

ข้อเสียของการทำvlan
1. ถ้าเป็นการแบ่ง VLAN แบบ port-based นั้นจะมีข้อเสียเมื่อมีการเปลี่ยนพอร์ตนั้นอาจจะต้องทำการคอนฟิก VLAN ใหม่
2. ถ้าเป็นการแบ่ง VLAN แบบ MAC-based นั้นจะต้องให้ค่าเริ่มต้นของ VLAN membership ก่อน และปัญหาที่เกิดขึ้นคือในระบบเครือข่ายที่ใหญ่มาก จำนวนเครื่องนับพันเครื่อง นอกจากนี้ถ้ามีการใช้เครื่อง Notebook ด้วย ซึ่งก็จะมีค่า MAC และเมื่อทำการเปลี่ยนพอร์ตที่ต่อก็ต้องทำการคอนฟิก VLAN ใหม่
มาตรฐานของVLAN
มาตรฐาน IEEE 802.1Q นั้นเป็นมาตรฐานในการนำข้อมูลของ VLAN membership ใส่เข้าไปใน Ethernet Frame หรือที่เรียกว่า การ Tagging และโพรโทคอล 802.1Q นี้ถูกพัฒนาเพื่อแก้ปัญหาเรื่องการบริหารจัดการด้านเครือข่ายที่เพิ่มขึ้น เช่น การกระจายเครือข่ายใหญ่ๆ ให้เป็นส่วนย่อยๆ (Segment) ทำให้ไม่สูญเสียแบนวิธให้กับการ broadcast และ multicast มากเกินไป และยังเป็นการรักษาความปลอดภัยระหว่างส่วนย่อยต่างๆ ภายในเครือข่ายให้สูงขึ้นอีกด้วย การต่อเติมเฟรม (tagging Frame) ด้วยมาตรฐาน 802.1Q นั้นจะทำในระดับ Data-Link layer และการทำ VLAN Tagging นั้นจะเป็นการเปลี่ยนรูปแบบของ Ethernet Frame มาตรฐาน 802.3 ให้เป็นรูปแบบใหม่ที่เป็นมาตรฐาน 802.3 ac

แหล่งที่มา http://th.wikipedia.org/wiki/Virtual_LAN

Chapter2 : รู้จักกับ FreeNAC

FreeNAC (หรือเรียกอีกอย่างว่า OpenNAC) เป็นโซลูชั่น Opensource ที่ใช้ในการตรวจสอบสิทธิ์ผู้ใช้งาน ก่อนที่จะเข้าถึงทรัพยากรของเครือข่าย (LAN access control) ช่วยในการจัดสรร VLAN โดยอัติโนมัตให้กับผู้ใช้ (dynamic vlan assignment) และช่วยให้ง่ายในการจัดการบริหารรายการอุปกรณ์เครือข่ายในระบบ (live network end-device inventory)

FreeNAC ประกอบด้วย 2 mode หลักๆ ดังนี้

1. VPMS mode (VLAN Management Policy Server) ใช้งานคู่กับเฉพาะ Cisco Switch และอุปกรณ์เครือข่ายใดๆ ก็ได้ ไม่ว่าจะเป็น PCs, Server, Printers, IP Phones, Camera อุปกรณ์เครือข่ายอื่นๆ ซึ่งระบบจะทำการตรวจสอบ MAC Address ของอุปกรณ์และจัดสรร VLAN ตามกลุ่มให้กับอุปกรณ์
   
   
2. 802.1x mode (Radius Authentication) ระบบจะทำการตรวจสอบผู้ใช้งานผ่านการ log in Username/Password ที่อยู่ใน Window Domain หรือ Certified และระบบจะทำการจัดสรร VLAN ที่เหมาะสมให้กับอุปกรณ์

The solution of NAC

หลักการพื้นฐานในการตรวจสอบสิทธิ์การเข้าถึงของอุปกรณ์ ก็คือการใช้ MAC Address ของอุปกรณ์ในการตรวจสอบ ซึ่งทำให้สามารถตรวจสอบได้ทั้ง PCs, IP Phones, Printers, IP camera และทุกๆ อุปกรณ์ที่ใช้งานบนเครือข่ายผ่าน IP

How NAC works

การทำงานของ FreeNAC คือเมื่ออุปกรณ์ Switch ตรวจสอบพบเครื่อง PC หรืออุปกรณ์ใหม่ที่เข้ามาปลั๊กในระบบ อุปกรณ์ Switch จะทำการตรวจสอบสิทธิ์ของอุปกรณ์นั้น จาก NAC Server โดยผ่านทางโปรโตคอล VMPS (VLAN Management Policy Server) และ NAC จะทำการตรวจสอบข้อมูลในฐานข้อมูลว่ามีข้อมูลของอุปกรณ์นั้นอยู่หรือไม่ เพื่อที่จะปฏิเสธหรืออนุญาติให้เข้ามาใช้งานทรัพยาการในเครือข่ายได้ โดยใช้การตรวจสอบผ่าน MAC address ของอุปกรณ์ปลายทางนั้น