Overview Of VLANs And SwitchPorts Part 3

ရှေ့တပတ်တုန်းကတော့ Switchport Modes တွေအကြောင်းရှင်းပြလို့ပြီးခဲ့ပါပြီ။ အခုဒီတခေါက်ကတော့ လက်ရှိ Topic ရဲ့ Final Part ဖြစ်တဲ့ InterVLAN Routing အကြောင်းကိုဆက်ပါမယ်။ နောက်ဆုံးပိတ် အိတ်နဲ့လွယ်တာ ဖြစ်တဲ့အတွက် စာတော့ နည်းနည်းရှည်ပါမယ်။ ဆိုတော့ VLAN ဆိုတာက အတိုချုံးပြောရရင်တော့ Physical LAN ကြီးတခုလုံးကို Broadcast Traffic တွေလျှော့ချနိုင်အောင် Virtual LAN အပိုင်းပိုင်းလေးတွေဖြစ်အောင် Logically ခွဲထုတ်ပေးလိုက်တာပဲဖြစ်တယ်။ အဲတော့ Logically ခွဲထုတ်လိုက်တယ်ဆိုပေမယ့်လည်း Broadcast Domain က Separated ဖြစ်သွားတော့ Network ကလည်း ကွဲသွားမှာပါ၊ အဲ့အတွက်ကြောင့် မတူညီတဲ့ VLAN အချင်းချင်း Ping မယ်ဆို လက်ရှိမှာမရသေးပါဘူး။ ဥပမာအားဖြင့် Server-Farm VLAN ထဲက Storage Server ကို ဒီဘက် Office VLAN ဘက်က Access လုပ်မယ်ဆိုမရတော့ပါဘူး။ ဘာကြောင့်မရတာလဲဆိုရင် ပုံမှန် Tagged ပဲဖြစ်ဖြစ်၊ Untagged Frame ပဲဖြစ်ဖြစ်၊ Layer 2 Ethernet Frame ဖြစ်တဲ့အတွက် Broadcast Domain တစ်ခုတည်းပဲသွားနိုင်မှာဖြစ်ပါတယ်။ တကယ်လို့ မတူညီတဲ့ Broadcast Domain၊ မတူညီတဲ့ Network တွေအချင်းချင်း Connectivity ရချင်တယ်ဆိုရင် Layer 3 Process တွေဖြစ်တဲ့ Path Selection, Packet Forwarding နဲ့ Encapsulation/De-encapsulation တို့ပါမှရမှာဖြစ်ပါတယ်။ အဲတော့ဘယ်လိုလုပ်မလဲ၊ ပထမ အဆင့်အနေနဲ့ သက်ဆိုင်ရာ VLANs တွေအတွက် Gateway Interface သတ်မှတ်ရမယ်၊ Layer 3 Interface ဖြစ်ဖို့လိုပါတယ်၊ အဲတာမှာ သက်ဆိုင်ရာ VLANs တွေကနေ တက်လာမယ့် Frame တွေထဲက Packet ကို Forward လုပ်နိုင်မှာဖြစ်ပါတယ်၊ ဒုတိယအချက်အနေနဲ့ စောနက Gateway Interfaces တွေမှာ သက်ဆိုင်ရာ VLANs တွေအတွက် Gateway IP နဲ့ သက်ဆိုင်ရာ IP Range ကို DHCP ချပေးဖို့လိုပါတယ်၊ အဲတာမှ ဒီ VLAN ထဲမှာရှိတဲ့ Computer တွေဆီကို IP Automatically Assign လုပ်မှာဖြစ်ပါတယ်။

Configure Router For Inter-VLAN Routing

Wireless ဆိုရင်တော့ သက်ဆိုင်ရာ Access Switch ကနေ Wireless AP ကိုချိတ်၊ Access Switch မှာလည်း မိမိသတ်မှတ်မယ့် SSID တွေအတွက် VLAN ကြိုသတ်မှတ်ထား၊ ပြီးရင် Gateway Interface ကို သက်ဆိုင်ရာ Gateway Device (Router Or Firewall) မှာသတ်မှတ်၊ ပြီးရင် DHCP Configure လုပ်ပေါ့၊ တခုရှိတာက Multiple SSID ဖြစ်သွားတဲ့အတွက် Access Switch နဲ့ AP နဲ့ Connection က Trunk ဖြစ်မှရမှာပါ၊ တကယ်လို့ SSID တခုတည်းဆိုရင်တော့ Access နဲ့လည်းရပါတယ်။ ပြီးရင်တော့ Wireless AP မှာ သက်ဆိုင်ရာ SSID Create လုပ်၊ ပြီးရင် စောနက Access Switch မှာလုပ်ထားခဲ့တဲ့ VLAN ID နဲ့ပြန်တွဲပေးလိုက်ရင် အဲ SSID နဲ့ချိတ်တဲ့ Mobile Phone, Computer မှန်သမျှက Gateway Device မှာသတ်မှတ်ခဲ့တဲ့ DHCP Range အတိုင်း IP ကျနေမှာပဲ ဖြစ်ပါတယ်။

အဲလို Inter-VLAN Routing Configure လုပ်ပေးလိုက်မယ်ဆိုရင် သက်ဆိုင်ရာ Gateway Router မှာ Port အရေ အတွက်နည်းတယ်ဆိုရင်အဆင်မပြေပါဘူး။ နောက်တခုက VLAN တစ်ခုချင်းစီကိုသာ ကြိုးတစ်ချောင်း နဲ့သွားမယ်ဆိုရင် VLAN 10 ခုဆို ကြိုး 10 ချောင်းလိုမှာပါ။ နောက်တခုက Router မှာလည်း Port က အဲလောက် အများကြီးမရှိပါဘူး၊ အဲအတွက် Router မှာ Physical Interface အစား Virtual Interface (Logical Interface) နဲ့ IP Assign ချလို့ရပါတယ်။ အဲတော့ သက်ဆိုင်ရာ VLAN တစ်ခုချင်းစီရဲ့ Logical Interface တွေက Router ရဲ့ Routing Table မှာကြည့်မယ်ဆိုရင် Directly Connected ဖြစ်နေမှာပါ။ Routing ထုံးစံအရ Directly Connected ဖြစ်တယ်ဆိုရင် Route သီးသန့်ရေးပေးစရာမလိုပါဘူး။ အဲဒီ့အတွက် သက်ဆိုင်ရာ VLAN တွေမှာ Gateway Interface ရော IP ရောရပြီဆိုရင် ID မတူတဲ့ VLAN အချင်းချင်း Connected ဖြစ်နေပါပြီ။ Ping Test စမ်းကြည့်ရင် ရနေပါလိမ့်မယ်။ အဲတာကိုမှ ဥပမာ Guest Network ကနေ ရုံးမှာရှိတဲ့ Server-Farm Network ကိုသွားလို့ မရအောင်ပိတ်ချင်ရင် Firewall မှာ Security Policy နဲ့ရေးရပါမယ်၊ Router မှာဆိုရင်တော့ Access-List ဖြစ်ဖြစ် ရေးပေးရင်ရပါတယ် (ဤကားစကားချပ်)။ Gateway Interface ကို Logical Interface သတ်မှတ်ပြီး Inter-VLAN Routing လုပ်နည်းနှစ်နည်းရှိပါတယ်။ အဲတာတွေကတော့ Router-On-A-Stick (ROAS) နဲ့ Switch Virtual Interface (SVI) တို့ပဲဖြစ်တယ်၊ Configuration Point Of View အရမတူပေမယ့် သဘောတရားကတော့ အတူတူပဲ ဖြစ်ပါတယ်။

Router-On-A-Stick (ROAS)

သူကတော့ Router သို့မဟုတ် Firewall မှာရှိတဲ့ LAN Interface (Layer 3 Interface) ကနေ Sub-Interfaces တွေခွဲထွက်ပြီး သက်ဆိုင်ရာ VLAN ဆီကလာတဲ့ Tagged Frame တွေကို Terminate လုပ်မှာဖြစ်ပါတယ်။ အဲတာကြောင့် VLAN Termination လို့လည်းခေါ်ပါတယ်။ Topology အားဖြင့်တော့ Downstream Switch နဲ့ Router နဲ့မှာ Uplink တစ်ကြိုးချိတ်ထားမယ်။ ဘယ်ကိုလဲဆိုတော့ Router ရဲ့ Gi 0/0 Interface ကိုချိတ်ထားမယ်။ လက်ရှိ Switch မှာက VLAN 10,20,30 စသဖြင့် 3 ခုရှိမယ်ဆိုရင် Gi 0/0 Interface အောက်မှာ Gi 0/0.1 ကိုမှ VLAN 10, Gi 0/0.2 ကိုမှ VLAN 20, Gi 0/0.3 ကိုမှ VLAN 30 စသဖြင့် VLAN Termination လုပ်ပြီး IP သတ်မှတ်ရပါမယ်။ အဲ IP ကလက်ရှိ VLAN ရဲ့ Gateway IP ဖြစ်မှာပါ။ Cisco မှာဆိုရင်တော့ “encapsulationသ dot1q <VLAN_ID>” ဆိုတဲ့ Command ရိုက်ရပါမယ်။ သတိထားရမယ့်အချက်က Main Interface က Gi 0/0 ဖြစ်နေတဲ့အတွက် အဲ့ကောင်က Up and Running ဖြစ်နေမှရပါမယ်။ Shutdown ဖြစ်နေလို့မရပါဘူး။ အဲကောင် Shutdown ဖြစ်နေရင် အောက်က Sub-Interfaces တွေကလည်း အလုပ်လုပ်မှာမဟုတ်ဘူးနော်။ Main Interface မှာရော IP ပေးလို့ရသလားလို့မေးရင် Untagged VLAN ဆိုရင်ရပါတယ်။ တနည်းအားဖြင့် Native VLAN ပေါ့။ Cisco မှာဆိုရင်တော့ Default က 1 ဖြစ်တယ်။ Security Point Of View အရချိန်းမယ်။ အဲ Native VLAN အတွက်လည်း Gateway လိုတယ်ဆိုရင်တော့ Main Interface မှာပေးလို့ရပါတယ်။ ကောင်းတဲ့အချက်ကတော့ ကြိုးအများကြီး မကုန်တော့ပါဘူး၊ VLAN ဘယ်နှစ်ခုပဲရှိရှိ Layer 3 Interface တစ်ခုတည်း၊ Uplink တစ်ကြိုးတည်းနဲ့ လိုအပ်တဲ့ Sub-Interfaces တွေခွဲလို့ရတယ်။ နောက်တချက် သတိထားရမှာက Uplink ကြိုးသည် Trunk ဖြစ်မှရပါမယ်နော်။ အောက်မှာပုံလေးနဲ့တွဲပြပေးထားပါတယ်။ ROAS ကတော့ Layer 3 Support လုပ်တဲ့ Devices တော်တော်များများ မှာရပါတယ်။

Switch Virtual Interface (SVI)

သဘောတရားအရကတော့ ROAS နဲ့မတိမ်းမယိမ်းပါပဲ၊ တကယ်လို့ Gateway Device က Layer 3 Support လုပ်တဲ့ Multilayer-Switch ဖြစ်တယ်ဆိုရင် အဲ Switch မှာ VLAN Interface သတ်မှတ်ပေးပြီး IP Assign ချ၊ သက်ဆိုင်ရာ VLAN အတွက် DHCP သတ်မှတ်ပေါ့ဗျာ။ ROAS နဲ့မတူတာက Sub-Interface နဲ့ VLAN Interface ပဲကွာပါတယ်။ နောက်တခု ROAS နဲ့မတူတာက ROAS မှာတုန်းက Sub-Interface မှာ VLAN-Termination လုပ်ပေးရတယ်၊ SVI မှာကမလိုပါဘူး၊ Downstream Switch နဲ့ချိတ်ထားတဲ့ Physical Port တွေကို Trunk Configure လုပ်ပေးလိုက်ပြီး သက်ဆိုင်ရာ VLAN အလိုက်၊ VLAN Interface 10, 20, 30 စသဖြင့် သတ်မှတ်ပြီး IP ပေးလို့ရပါပြီ၊ ROAS တုန်းကလိုပဲ။ အဲ IP က သက်ဆိုင်ရာ VLAN ရဲ Gateway IP ဖြစ်မှာပါ။ တခုရှိတာက Cisco Switch မှာဆိုရင်တော့ Routing Function ကို “ip routing” Command ဖြင့် Enable လုပ်ပေးရပါတယ်။ အဲတော့မှ InterVLAN Routing ရမှာပါ၊ နို့မို့ဆို VLAN Interface ပဲဆောက်လို့ရမှာဖြစ်ပြီး Network တခုနဲ့တခု Ping Test စမ်းရင် မထွက်တာတို့ဖြစ်နိုင်ပါတယ်။ နောက်တခုရှိတာက Layer 2 Only Switch တွေမှာဆိုရင်လည်း Management Access အတွက် VLAN Interface သတ်မှတ်ပြီး Management IP ပေးရတာမျိုးလည်းရှိပါတယ်။ အဲတော့မှ Web တို့ SSH တို့ကနေပြီး Config လှမ်းလုပ်လို့ရမှာဖြစ်တယ်။ Multilayer-Switch မှမဟုတ်ပဲ VLAN Tag, Untag တွေကို Support လုပ်နိုင်တဲ့ Device အကုန်လုံးမှာ အသုံးပြုလို့ရပါတယ်။ Firewall မှာဆိုရင်တော့ FortiGate တို့ Palo Alto တို့မှာရပါတယ်။ Cisco ရဲ့ Firepower မှာဆိုရင်တော့ ROAS ပဲရမှာဖြစ်ပါတယ်။

ဒီတပတ်အတွက်တော့ ဒီလောက်ပါပဲ။ နောက်တစ်ပတ်ကျရင်လည်း အခုလိုပဲ စိတ်ဝင်စားစရာ Topic တွေနဲ့တကွ ပြန်လာပါအုန်းမယ်။

Written By Aung Khant Moe
PreviousOverview Of VLANs And SwitchPorts Part 2NextHow Does DNS Work?

Last updated