การออกแบบ Wireless LAN ในองค์กรด้วยแนวคิด Single VLAN Architecture

hpe_aruba_logo

ในอดีตนั้นการออกแบบระบบ Wi-Fi ในองค์กร มักอาศัยการแบ่ง VLAN สำหรับแต่ละ SSID แยกขาดจากกันเพื่อให้ง่ายต่อการบริหารจัดการด้านความปลอดภัยและการรองรับผู้ใช้งานให้เพียงพอต่อ IP Address ที่มี และค่อยๆ เพิ่มขยายด้วยการทำ VLAN Pooling ในแต่ละ SSID เข้ามา แต่ปัจจุบันด้วยปริมาณการใช้งาน Wi-Fi นั้นเติบโตอย่างรวดเร็วมาก และมีผู้ใช้งานเป็นจำนวนมาก การลดความซับซ้อนในระบบเครือข่ายจึงกลายเป็นประเด็นสำคัญขึ้นมา และเกิดเป็นแนวคิดการออกแบบ Wireless LAN แบบ Single VLAN Architecture ขึ้นมา ใครที่สนใจมาทำความรู้จักแนวคิดนี้ไปพร้อมๆ กันได้เลยครับ

 

การใช้ VLAN Pooling และปัญหาที่ตามมา

hpe_aruba_vlan_pooling

หลายๆ องค์กรนั้นได้ทำการเพิ่มขยายระบบ Wi-Fi ภายในองค์กรให้รองรับอุปกรณ์จำนวนมากขึ้นด้วยการทำ VLAN Pooling โดยการนำหลายๆ VLAN ไปให้บริการภายใน SSID เดียว เพื่อให้ SSID นั้นๆ มีจำนวน IP Address ที่เพียงพอต่อการใช้งาน แต่ปัญหาที่เกิดขึ้นตามมานั้นก็มีดังนี้

  • การทำ Broadcast หรือ Multicast อาจส่งผลต่อ VLAN อื่นๆ ได้ เพราะ 802.11 Frame นั้นไม่ได้มีการระบุ VLAN Tag
  • มีปัญหาในการใช้งาน IPv6 Stateless Address Auto Configuration (SLAAC) ซึ่งเครื่องลูกข่ายอาจรับ IP Address จากคนละ VLAN ได้
  • การทำ Roaming ต้องทำเผื่อทั้งระดับ Layer 2 และ Layer 3
  • IP Address ในบาง VLAN อาจเต็มไปก่อน โดยที่ IP Address ใน VLAN อื่นๆ ไม่ได้ถูกใช้งานเลย เพราะอัลกอริธึมการ Hash อาจส่งผลลัพธ์ลักษณะนั้นได้ในบางกรณี

แน่นอนว่าปัญหาต่างๆ เหล่านี้ถือเป็นปัญหาที่แก้ได้ค่อนข้างยากทีเดียวเพราะบางปัญหาก็เป็นที่ระดับมาตรฐานของ Protocol หรืออัลกอริธึมจากผู้ผลิต แนวคิดการทำ Single VLAN จึงเกิดขึ้นมาเพื่อแก้ไขปัญหาของการทำ VLAN Pooling เหล่านี้ทั้งหมด

 

Single VLAN ใช้ VLAN เดียวรองรับ Wi-Fi ที่กระจายอยู่ทั่วทั้งองค์กร

hpe_aruba_single_vlan_design

HPE Aruba ได้นำเสนอแนวคิดในการทำ Single VLAN ด้วยการสร้าง VLAN ที่มี Subnet แบบ /22 หรือ /16 ขึ้นมาแทน และให้ SSID หนึ่งๆ ใช้งาน VLAN/Subnet นั้นๆ เพื่อรองรับผู้ใช้งานจำนวนมหาศาลไปเลย และถ้าหากองค์กรต้องการที่จะมีหลายๆ SSID ก็สามารถสร้าง VLAN ที่มี Subnet ขนาดใหญ่นี้ขึ้นมาใช้เพิ่มเติมได้

ข้อดีของการทำ Single VLAN สำหรับระบบ Wi-Fi มีดังนี้

  • ออกแบบง่ายและดูแลรักษาง่าย
  • แก้ปัญหา IPv6 SLAAC ไปได้ทั้งหมด เพราะแต่ละ VLAN จะใช้ค่า RA จาก Router ตัวเดียวเสมอ
  • การทำ Roaming จะง่ายขึ้นมาก เพราะผู้ใช้งานไม่ต้องมีการเปลี่ยน IP Addresss ในระหว่างเชื่อมต่อ Wi-Fi อีกต่อไป
  • ไม่มีปัญหาเรื่อง IP Address หมดเฉพาะบาง VLAN/Subnet อีกต่อไป ลดความซับซ้อนของปัญหาลงได้เป็นอย่างมาก

 

ประเด็นที่ต้องคำนึงถึงในการทำ Single VLAN

ในการทำ Single VLAN เองนี้ก็ยังมีประเด็นที่ต้องคำนึงถึงเพื่อให้มั่นใจว่าระบบเครือข่ายขององค์กรพร้อมที่จะออกแบบ Wi-Fi ตามสถาปัตยกรรมแบบนี้หรือไม่ ดังนี้

  • การจำกัดวงของการ Broadcast ข้อมูลแบบ Multicast เพราะใน Subnet ขนาดใหญ่ Traffic เหล่านี้อาจมีจำนวนมหาศาลกว่าที่คิดและส่งผลต่อประสิทธิภาพของระบบเครือข่ายโดยรวมได้ ซึ่ง HPE Aruba ได้มีเทคโนโลยีต่างๆ สำหรับควบคุมการส่ง Multicast Traffic บนระบบเครือข่ายไร้สายมากมาย และยังจำกัดการส่ง Broadcast Traffic ได้อย่างมีประสิทธิภาพอีกด้วย
  • อุปกรณ์เครือข่ายจะต้องรองรับการสร้าง VLAN และ Subnet ขนาดใหญ่ ไม่ว่าจะเป็น Router หรือ Switch ที่ต้องประมวลผล ARP Table ในขนาดใหญ่มากได้, DHCP Server ที่ต้องรองรับ Scope ของ IP Address ขนาดใหญ่ได้อย่างรวดเร็ว (DHCP บน Linux บางตัวไม่รองรับ) และ Firewall จะต้องรองรับการกำหนด Rule ให้แก่ Subnet ขนาดใหญ่ได้

ทั้งนี้ Single VLAN นั้นก็เป็นเพียงทางเลือกหนึ่งในการออกแบบเท่านั้น แต่ละองค์กรควรเลือกวิธีการในการออกแบบระบบเครือข่ายไร้สายให้เหมาะสมกับความต้องการใช้งานที่แตกต่างกันไปในแต่ละกรณีด้วยเช่นกัน

 

ศึกษารายละเอียดฉบับเต็มจาก Whitepaper ของ HPE Aruba ได้ฟรีๆ ทันที

สำหรับผู้ที่สนใจรายละเอียดเชิงลึกเพิ่มเติม สามารถกรอกแบบฟอร์มดังต่อไปนี้เพื่อโหลด Whitepaper จากทาง HPE Aruba ไปทำการศึกษาต่อได้ทันทีเลยนะครับ

 

ติดต่อทีมงาน HPE Aruba ได้โดยตรง

hpe_aruba_logo

สำหรับองค์กรใดที่ต้องการทดสอบความสามารถในการ Integrate ระบบระหว่าง Aruba Networks และ Palo Alto Networks สามารถติดต่อทีมงานของ Aruba Networks ได้ทันทีที่ Email jkunasinkijja@arubanetworks.com หรือโทร 0814902009


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Cisco เปิดตัว Firepower 1000 Series เสริมความมั่นคงปลอดภัยแก่ SMB

ภายในงาน Cisco Live US ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่าน Cisco ได้ประกาศเปิดตัว Firepower 1000 Series ซึ่งเป็น Threat-focused Next-generation Firewall รุ่นใหม่ …

SOSECURE เปิดคอร์สอบรม How to be a Cyber Threat Hunter 24 – 26 ก.ค. 2019

SOSECURE ขอเรียนเชิญ Threat Intelligence Engineer, Security Analyst, Cybersecurity Engineer และผู้ที่ทำงานในวงการ IT ที่สนใจ เข้าร่วมเรียนในคอร์ส "How to be a Cyber Threat Hunter โดย SoSecure" เพื่อเรียนรู้เทคนิคและเครื่องมือสำหรับการทำงานในสาย Security แบบมืออาชีพสำหรับธุรกิจองค์กร ในวันที่ 24 - 26 กรกฎาคม 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมเรียนดังนี้