7 ชั้น (จากล่างขึ้นบน — ทางสาย → ทางใจ)#

กฎทอง: ยิ่งล่าง = ยิ่งใกล้ สาย, ยิ่งบน = ยิ่งใกล้ user

3 ชั้นที่ผู้บริหารต้องจำชื่อ ที่เหลือรู้ว่ามีก็พอ#

ผมไม่อยากให้คุณท่องทั้ง 7 ชั้น. สำหรับผู้บริหาร 3 ชั้น ที่สำคัญที่สุด เพราะ 80% ของการคุยเรื่อง network security ในห้องประชุมจะวนเวียนอยู่ที่ 3 ชั้นนี้:

• Layer 3 (Network) — IP address — “บ้านไหน → บ้านไหน”
• Layer 4 (Transport) — TCP/UDP + port — “ประตูไหน → ประตูไหน + ระบบลงทะเบียนหรือธรรมดา”
• Layer 7 (Application) — ของในซอง — HTTP / SQL / email content — “คุยเรื่องอะไร”

ทำไมแค่ 3 ชั้นนี้พอ ก็เพราะ ทุก security control ที่เราจะคุยใน Part 4 ตัดสินใจที่ 3 ชั้นนี้เป็นหลัก

จะเห็นว่า ทุก control มันคุย Layer คนละแบบกัน ผู้บริหารที่ไม่มีภาพ Layer ในหัว เวลาฟัง pitch จาก vendor ก็แยกไม่ออกว่า product ไหนมันแก้ปัญหาที่ชั้นไหนกันแน่

มุมผู้บริหาร: ในห้องประชุมที่ vendor pitch firewall ใหม่ ถามคำถามเดียวครับ “ผลิตภัณฑ์นี้ตรวจถึง Layer ไหน?” คำตอบจะบอกคุณทันทีว่ามันเป็น Gen 1 (Layer 3-4), Gen 2 (Layer 3-4 + state) หรือ Gen 3/NGFW (ถึง Layer 7) ราคากับ capability ที่ vendor pitch ต้องตรงกับ Layer ที่ตอบ ถ้า vendor ตอบลอยๆ ว่า “ตรวจทุก Layer” แปลว่าเขาไม่เข้าใจ OSI หรือไม่ก็กำลังขายของแพงโดยไม่บอกว่าเอาไปใช้กับ traffic แบบไหนได้

โยงไปฝั่ง audit: application controls ในมุม CISA — input validation, processing checks, output reconciliation — ทำงานที่ Layer 7 เกือบทั้งหมด เพราะมันต้อง “เปิดซองดูของ” ในระดับ business logic ดู CISA D3.27 — Application Controls ที่ลงลึกว่า auditor อ่าน control แต่ละแบบยังไง

3 หลุมพรางของข้อสอบ + ของวงการที่เจอบ่อย#

ในตำราชอบลองหลอกที่ตำแหน่งนี้ ในชีวิตจริงก็เจอกันบ่อย:

หลุมพรางสุดท้ายสำคัญมากครับ บางบริษัทยังใช้ MAC address filtering เป็นเครื่อง access control เดียวที่ปกป้อง wifi หรือ network port ของออฟฟิศ ใครที่เปลี่ยน MAC ของ laptop ตัวเองให้ตรงกับ MAC ของพนักงาน (ซึ่งดูได้จาก packet capture ใน 5 นาที) ก็เข้าได้สบายมาก MAC = ป้ายชื่อที่แกะออกแล้วเขียนใหม่ได้ ไม่ใช่ลายนิ้วมือ

TCP/IP 4-Layer Model — โมเดลที่ engineer ใช้จริง#

OSI คือตำราครับ คนคุยกันใน lab ห้องประชุม หรือข้อสอบ ใช้ OSI

แต่ในชีวิตจริงที่ engineer ลุยกับ network กันจริงๆ จะใช้ TCP/IP model ที่ย่อ 7 ชั้นเหลือ 4 ชั้น เพราะมันตรงกับสิ่งที่อินเทอร์เน็ตเป็นอยู่จริง (อินเทอร์เน็ตถูกสร้างด้วย TCP/IP ก่อน OSI มาทีหลัง)

มุมผู้บริหาร: เวลาทีม IT หรือ vendor พูด “Layer 4” หรือ “Layer 7” เขาอ้าง OSI เสมอครับ (เพราะ TCP/IP ไม่มี Layer 5/6 แยก) แต่เวลาเขาพูดว่า “TCP/IP stack” หรือ “stack ของระบบ” หมายถึง 4-layer model. ทั้งสองโมเดลไม่ได้ขัดกันนะครับ เป็นมุมมองคนละความละเอียดของเรื่องเดียวกัน รู้ทั้งคู่ก็พอ ไม่ต้องท่อง

5 ชนิดสื่อทางกายภาพที่ใช้ใน LAN/WAN#

Twisted pair vs Fiber — เลือกยังไง#

Twisted pair ทำไมต้องบิดเกลียว? เพราะการบิดทำให้สัญญาณรบกวนจากภายนอกตัดกันเองลดลง คล้ายเอาเส้นเชือกบิดเกลียวเพื่อให้ทนการดึง

Fiber optic ส่งสัญญาณเป็นแสงในเส้นแก้วบางๆ ไม่ใช่ไฟฟ้า ผลคือ:

• immune to EMI — สนามแม่เหล็กไฟฟ้าใดๆ ก็รบกวนไม่ได้
• ระยะไกลกว่ามาก เพราะแสงลดทอนช้ากว่าไฟฟ้าในทองแดง
• ดักฟังยากกว่า (เจาะสาย fiber เพื่อ tap = สัญญาณจะลดทันที ตรวจจับได้)

Singlemode vs Multimode: multimode ใช้แสงหลายโหมดวิ่งพร้อมกัน ระยะสั้นแต่ถูกกว่า. ส่วน singlemode ใช้แสงโหมดเดียววิ่งเป็นเส้นตรง ระยะไกลกว่ามากแต่ก็แพงกว่า

EMI — สัญญาณรบกวนแม่เหล็กไฟฟ้า#

EMI (Electromagnetic Interference) คือสัญญาณรบกวนจากอุปกรณ์ไฟฟ้ารอบข้าง ไม่ว่าจะมอเตอร์ในโรงงาน หลอดไฟฟลูออเรสเซนต์ หม้อแปลง หรือคลื่นวิทยุ

ผลกระทบที่เกิด:

• corrupt signal bit ที่ส่งเป็น 0 อาจถูกอ่านเป็น 1 ที่ปลายทาง
• packet loss ระบบตรวจสอบเจอ checksum ผิด → ทิ้ง packet → ต้องส่งใหม่ → ช้าลง
• intermittent disconnect เน็ตหลุดเป็นช่วงๆ หาสาเหตุยากมาก

วิธีลด EMI ก็คือใช้ STP (shielded) แทน UTP, เดินสายห่างจากมอเตอร์/หม้อแปลง, ใช้ fiber ในจุดที่ EMI หนักๆ

Crosstalk — สัญญาณรั่วระหว่างคู่สายข้างกัน#

Crosstalk คือในสาย UTP/STP มีคู่สาย 4 คู่ในปลอกเดียวกัน สัญญาณคู่หนึ่งรั่วไปที่คู่ข้างๆ เหมือนคุยโทรศัพท์แล้วได้ยินเสียงคนข้างห้องคุย

ตัวอย่าง — ในออฟฟิศที่เดินสาย Cat5 ที่ไม่ได้มาตรฐาน ใช้ network 100 Mbps ปกติ แต่พอ upgrade เป็น 1 Gbps สัญญาณความถี่สูงขึ้น crosstalk เพิ่มทันที เน็ตช้ากว่าตอน 100 Mbps อีก

วิธีลด crosstalk:

• บิดเกลียว (twisted pair = ที่มาของชื่อ) คู่สายที่บิดถี่กว่า crosstalk น้อยกว่า
• STP shielding มี foil หรือ braid หุ้มแต่ละคู่
• ใช้สายเกรดสูงขึ้น Cat6/Cat6a บิดถี่กว่า Cat5e และมี separator กั้น

มุมผู้บริหาร: ตอนสั่ง renovate office หรือสร้าง data center ใหม่ ถามทีม IT 3 คำถามครับ — “เดินสาย Cat อะไร?”, “ระยะที่ยาวสุดเกิน 100 m ไหม?”, “จุดไหนใกล้แหล่ง EMI หนัก (มอเตอร์ / หม้อแปลง / lift)?”. ตอบไม่ได้ = ทีมไม่ได้วางแผน physical layer มาก่อน 3 ปีข้างหน้าถ้าเน็ตช้าหรือหลุดบ่อย จะหาสาเหตุไม่เจอเพราะปัญหาอยู่ที่สายที่ฝังในผนังไปแล้ว รื้อทีหลังแพงกว่าทำดีตั้งแต่แรก 10 เท่า

Topology — รูปแบบการเชื่อม node ใน LAN#

Topology = แผนผังการเชื่อมของอุปกรณ์ใน network คล้ายผังถนนในหมู่บ้าน บางหมู่บ้านเป็น cul-de-sac บางหมู่บ้านเป็น grid

ในชีวิตจริง: office ทั่วไปวันนี้ใช้ star (ต่อ switch กลาง) ส่วน data center และ WAN ใช้ partial mesh เพื่อ redundancy

Device → OSI Layer Mapping#

อุปกรณ์ network ทุกตัวทำงานที่ Layer คนละชั้น ตารางนี้คือสิ่งที่ engineer ใช้กันทั่วโลก

ความต่างที่สำคัญระหว่าง Hub กับ Switch:

Hub ส่ง packet ออกทุก port เหมือนตะโกนกลางออฟฟิศ ทุกคนได้ยินหมด ใครที่อยู่ใน segment เดียวกัน ดักฟังได้สบาย

Switch ส่ง packet เฉพาะ port ปลายทางที่จด MAC ไว้ เหมือนเดินไปกระซิบที่หูคนที่ต้องการคุย คนอื่นไม่ได้ยิน

ผลด้าน security ก็คือ network สมัยใหม่ที่ใช้ switch (ไม่ใช่ hub) ดักฟัง LAN ยากกว่า ต้องทำ MAC flooding หรือ ARP spoofing ก่อน

มุมผู้บริหาร: เวลา vendor pitch “Layer 7 firewall” หรือ “L3 switch” สิ่งที่ต้องจำคือ เลขชั้นยิ่งสูง = อุปกรณ์เห็นรายละเอียดมากกว่า = ราคาก็แพงกว่า. L3 switch ราคา 50,000 บาท ต่างจาก L2 switch 5,000 บาทตรงที่ตัวแรก route IP ได้เอง ไม่ต้องพึ่ง router แยก. ถามทีมว่า “network เรามี traffic ข้าม subnet เยอะแค่ไหน?” ถ้าเยอะ L3 switch คุ้ม ถ้าน้อย L2 + router 1 ตัวก็พอ. อย่าซื้อของแพงเพราะ vendor บอกว่า “ดีกว่า” ต้องตรงกับ workload จริงครับ

Simplex / Half-Duplex / Full-Duplex — ทิศทางการสื่อสาร#

วันนี้ network สมัยใหม่ทั้งหมดเป็น full-duplex ครับ ที่เคยเป็น half-duplex (hub-based Ethernet เก่า) ค่อยๆ หายไปหมดแล้ว

Switching Mode — วิธีส่งของจาก A ไป B#

มี 3 วิธีหลักที่ใช้ส่งข้อมูลข้าม network ตั้งแต่อดีตถึงปัจจุบัน

1. Message Switching — store-and-forward ทั้ง message

node กลางรับ message ทั้งก้อน → เก็บไว้ในที่จัดเก็บ → พอว่างค่อยส่งต่อ เหมือนไปรษณีย์ส่งพัสดุ สาขารับของ → เก็บที่ warehouse → รถมาเก็บค่อยส่งต่อ

ข้อดีคือไม่ต้องสร้าง path ล่วงหน้า. ข้อเสียคือช้ามาก ใช้กับ network สมัยใหม่ไม่ได้ (legacy เช่น telegram, email เก่า)

2. Circuit Switching — สร้าง dedicated path ก่อนคุย

ก่อนเริ่มส่งข้อมูล ต้องจองเส้นทางพิเศษที่กันให้ใช้คนเดียวตลอด session เหมือนระบบโทรศัพท์บ้าน PSTN สมัยก่อน ตอนต่อสาย operator ต้องเสียบสายให้ตรงจุดก่อนคุย

ข้อดีคือ latency คงที่ คุณภาพดี. ข้อเสียคือเปลือง bandwidth ตอนเงียบไม่ได้คุย เส้นทางก็จองไว้อยู่ดี

3. Packet Switching — แตก message เป็น packet ส่งแยกๆ

แตก message เป็น packet เล็กๆ ส่งแยกกัน แต่ละ packet อาจไปคนละเส้นทาง ปลายทางค่อยประกอบกลับ. นี่คือสิ่งที่อินเทอร์เน็ตปัจจุบันใช้ผ่าน TCP/IP

ข้อดีคือใช้ bandwidth คุ้ม, share resources ได้, ทนต่อ link เสีย (อ้อมได้). ข้อเสียคือ latency ไม่คงที่ ต้องประกอบ packet ใหม่ที่ปลายทาง

SVC vs PVC — Virtual Circuit แบบจองชั่วคราว vs ถาวร#

ใน WAN service ของ telco จะมีคำว่า virtual circuit = path ที่ดูเหมือน dedicated แต่จริงๆ share resources กับคนอื่น มี 2 แบบ:

ขยายความแต่ละแบบสำหรับคนที่จะอ่าน proposal ของ telco:

PVC (Permanent Virtual Circuit) ถูก config ทิ้งไว้ล่วงหน้า ตลอดเวลา ไม่มี setup delay เวลาจะส่งข้อมูล เปิดท่อปั๊บส่งได้เลย

• ที่เจอบ่อย Frame Relay, MPLS, บริการที่ telco ขายมาทดแทน leased line
• จุดเด่น bandwidth ที่คาดเดาได้, latency ต่ำ, ไม่ต้องรอ setup
• จุดอ่อน จ่ายเต็มจำนวนแม้ไม่ได้ใช้ — เหมือนเช่า apartment รายเดือนต่อให้กลับมานอนแค่ครึ่งเดือนก็จ่ายเต็ม

SVC (Switched Virtual Circuit) สร้างวงจรขึ้นมาตามต้องการ ทำเสร็จก็ทิ้ง

• ที่เจอ ATM, ISDN, ยุค dial-up
• จุดเด่น จ่ายตามที่ใช้จริง (pay per use)
• จุดอ่อน มี setup delay ก่อนคุยได้แต่ละครั้ง, performance ไม่ predictable เท่า PVC

วันนี้คนใช้ PVC น้อยลงเพราะ MPLS / SD-WAN เข้ามาแทน แต่คำศัพท์ยังเจอใน proposal เก่าและในข้อสอบ

LAN / MAN / WAN — ขนาดของ Network 3 ระดับ#

MAN เป็นคำที่หลายคนลืม คิดว่ามีแค่ LAN กับ WAN แต่จริงๆ city-scale network เช่นระบบกล้อง CCTV ของกรุงเทพมหานคร = MAN

Network Types ครบชุด — PAN / WPAN / WWAN / piconet / IrDA#

LAN / MAN / WAN ครอบคลุม network ที่ใหญ่หน่อย แต่ในชีวิตจริงยังมี network ตัวเล็กกว่า LAN ที่อยู่รอบตัวเราตลอด เช่น Bluetooth ของหูฟัง smart watch ที่ sync กับมือถือ ทั้งหมดนี้มีชื่อทางการของมัน

Piconet น่าสนใจตรงที่มันเป็น topology เฉพาะของ Bluetooth. ใน piconet จะมี device ตัวเดียวเป็น master ที่คุม clock ของ network แล้วมี slave ได้ถึง 7 ตัว ที่ active พร้อมกัน (parked slave มีได้อีกถึง 255 ตัวที่ standby)

ถ้ามี piconet หลายก้อนเชื่อมกัน เรียกว่า scatternet เกิดเมื่อ device หนึ่งเป็น slave ใน piconet หนึ่ง พร้อมเป็น master ใน piconet อีกก้อน. ใช้น้อยในชีวิตจริงเพราะ implementation ยุ่ง แต่เป็น concept ที่อาจเจอในข้อสอบ

IrDA วันนี้ถือว่าตายไปแล้ว. แต่ในยุค 2000s notebook ทุกเครื่องมี IR port เอาไว้ sync กับ Palm หรือส่งไฟล์ไปเครื่อง printer. ปัจจุบันโดน Bluetooth / Wi-Fi กินตลาดไปหมด เหลือใช้แค่ remote control TV / air-con (ซึ่งเทคนิคก็คือ infrared)

SNMP — Simple Network Management Protocol#

SNMP คือโปรโตคอลที่ใช้เก็บสถานะของอุปกรณ์ network (router, switch, server, printer, UPS) มาดูได้จากที่เดียว

ลองนึกภาพ — บริษัทใหญ่มี switch 200 ตัว, router 30 ตัว, server 500 ตัว ถ้าจะรู้ว่าตัวไหน CPU สูง temperature ผิดปกติ port ดับ ต้อง login เข้าทีละตัวคือบ้าเลย. SNMP เลยเกิดมาให้รวมสถานะทั้งหมดมาที่ NMS (Network Management System) ตัวเดียว

สถาปัตยกรรม 3 ส่วน:

มี 2 รูปแบบการสื่อสาร:

• Polling — manager ถาม agent ตามรอบ (“CPU สูงแค่ไหน?” ทุก 5 นาที)
• Trap — agent ส่งสัญญาณเข้า manager เองเมื่อมีเหตุการณ์สำคัญ (“temperature สูงเกิน 70 องศา!”) โดยไม่รอ poll

Version + ปัญหาด้าน security:

ปัญหาคลาสสิคของวงการที่ pentester เจอใน network corporate บ่อยมาก คือ SNMPv1/v2c ที่ใช้ community string เป็น public (default) แค่ scan UDP port 161 ลอง community public ก็ดูสถานะทุกอุปกรณ์ได้ฟรี

ICMP — Internet Control Message Protocol#

ICMP คือโปรโตคอลที่ใช้รายงานข้อผิดพลาดและทดสอบเส้นทางบน IP network ทำงานที่ Layer 3 คู่กับ IP

ที่หลายคนรู้จัก:

• ping ส่ง ICMP Echo Request → รอ Echo Reply กลับมา → วัด latency พร้อมดูว่าปลายทางมีชีวิตอยู่ไหม
• traceroute / tracert ใช้ ICMP Time Exceeded เพื่อดูเส้นทางที่ packet เดินผ่าน router แต่ละ hop

ICMP message types ที่เจอบ่อย:

มุมผู้บริหาร: ทีม security บางที่ block ICMP ทั้งหมดเพราะกลัว Ping flood หรือ ICMP tunneling แต่การ block ทุกอย่าง = ทีม IT เอง debug ไม่ได้ ping ไม่ได้ traceroute ไม่ได้. ที่ถูกต้องคือ block แค่ ICMP type ที่มีปัญหา (เช่น Echo Request จาก internet เข้ามา) แต่อนุญาต ICMP Destination Unreachable + Time Exceeded ที่ระบบต้องใช้ เพราะถ้า block ทั้งหมด TCP/IP จะปรับ MTU ไม่ได้ ทำให้ application บางตัวพังเงียบๆ ที่ debug ยากมาก

SAN คืออะไร — ทำไมต้องมี network แยกสำหรับ storage#

ในบริษัทเล็ก server มี hard disk ของตัวเอง เรียกว่า DAS (Direct Attached Storage) ใช้งานก็จบ

แต่พอบริษัทใหญ่มี server หลายร้อยตัวที่ต้องใช้ storage ร่วมกัน (เช่น VM cluster / database cluster) จะให้แต่ละตัวมี disk ของตัวเองก็เปลือง backup ก็ยาก เลยมี SAN (Storage Area Network) = network แยกที่เชื่อม server ไป shared storage array ทำให้ server เห็น remote disk เหมือนเป็น disk ของตัวเอง (block-level access)

ปัญหาคือ SAN ดั้งเดิม ใช้สาย Fibre Channel ที่แยกจาก Ethernet = 2 network ต้อง maintain 2 ระบบ แพง ยุ่ง. ทีมหลังเลยมี converged storage protocols ที่รวม SAN เข้ามาบน Ethernet ปกติได้

5 โปรโตคอล SAN + WAN service ที่ผู้บริหารควรรู้ชื่อ#

ศัพท์ SAN พื้นฐานที่จะเจอใน vendor proposal#

MPLS — ทำไม telco ยังขายแพงทั้งที่อินเทอร์เน็ตถูกลง#

MPLS เป็น WAN service ที่ใช้ป้าย label บน packet แล้ว forward ตาม label แทนที่จะ lookup routing table ตาม IP ทุก hop. ผลคือ:

• เร็วกว่า routing แบบ IP ปกติ (label lookup เร็วกว่า routing table lookup)
• predictable latency คงที่ ใช้ QoS รับประกัน bandwidth ได้
• service provider managed บริษัทไม่ต้องดู routing เอง telco ดูให้

เปรียบเหมือนรถไฟฟ้า BTS ที่มี dedicated track และตารางเดินรถแน่นอน ส่วน internet เปรียบเหมือนการขับรถบนถนนสาธารณะ ถูกกว่ามากแต่จะติดเมื่อไรไม่รู้

วันนี้หลายบริษัทเริ่มย้ายจาก MPLS ไป SD-WAN (ใช้ internet หลายเส้นแล้วฉลาด route เอง) เพราะถูกกว่า. แต่ MPLS ก็ยังเป็นมาตรฐานของ enterprise traffic ที่ต้องการ SLA แน่นอน

มุมผู้บริหาร: เวลา IT manager ขอ budget “ซื้อ SAN array ใหม่ + เปลี่ยนเป็น FC” ถามคำถาม 3 ข้อครับ — “workload จริงๆ ต้องการ IOPS เท่าไร?”, “iSCSI บน 10/25 GbE Ethernet ตอบโจทย์ไหม?”, “ถ้า FC เราจะ lock-in กับ vendor ไหน 5 ปีข้างหน้า?”. เพราะ FC vendor มีไม่กี่รายในโลก ราคาแพง ส่วน iSCSI ใช้ Ethernet switch ทั่วไปได้ ราคาถูกกว่า 3-5 เท่า สำหรับ workload 80% ก็พอ. ส่วน workload ที่ต้อง low-latency จริงๆ (database OLTP สูงมาก หรือ HPC) ค่อยใช้ FC

NAS — พี่น้องของ SAN ที่หลายคนสับสน#

พูดเรื่อง SAN ไปแล้วต้องคุย NAS (Network Attached Storage) ด้วย เพราะสองตัวนี้ชื่อคล้ายกันมาก หลายคนใช้ปนกันโดยไม่รู้ความต่าง

ความต่างหลักคือ block-level access (SAN) vs file-level access (NAS) ฟังดูเทคนิคแต่ผลในชีวิตจริงต่างเยอะมาก

วิธีนึกง่ายๆ — NAS = drive ที่ share ผ่าน network (เหมือน shared folder ของ Windows ที่ scale ขึ้น). ส่วน SAN = disk ที่ต่อผ่าน network แต่เครื่องเห็นเป็น disk ของตัวเอง

ความเสี่ยง 4 ตัวของ NAS ที่ผู้บริหารต้องรู้:

• Unauthorized file access SMB/NFS ที่ตั้ง auth อ่อน ใครก็เข้าได้
• File-level ransomware NAS เป็น target ยอดนิยมของ ransomware เพราะเห็นไฟล์เป็นไฟล์ เข้ารหัสได้ตรงๆ
• Replication misconfig บางครั้ง replication ระหว่าง NAS 2 ตัวตั้งผิด ทำให้ข้อมูล leak ใน backup site
• DNS poisoning โจรเปลี่ยน DNS ให้ client เข้า fake NAS แทน NAS จริง ขโมยข้อมูลได้

10 best practice สำหรับ NAS:

1. update firmware ให้ใหม่ล่าสุดเสมอ
2. ใช้ RBAC แยกสิทธิ์ตาม role อย่าให้ทุกคนเป็น admin
3. encryption at rest บน disk
4. forward audit log ไปที่ SIEM
5. ตั้ง snapshot policy เป็น defense ระดับแรกของ ransomware
6. backup ไป off-site อย่าพึ่ง snapshot ตัวเดียว
7. แยก network segment ของ NAS ออกจาก user network
8. MFA สำหรับ admin login
9. disable protocol เก่าเช่น SMBv1 (ที่ WannaCry ใช้เจาะปี 2017)
10. penetration test เป็นระยะ

VSAN — Virtual SAN#

พอ SAN ใหญ่ขึ้น data center มี tenant หลายเจ้าใช้ร่วมกัน คำถามที่ตามมาคือ — “จะแยก traffic ของแต่ละ tenant ยังไงโดยไม่ต้องมี SAN แยกกัน?” คำตอบคือ VSAN (Virtual SAN) เป็น logical partition ของ physical SAN fabric เหมือนกับที่ VLAN เป็น logical partition ของ physical LAN

แต่ละ VSAN จะมี zoning, name server, RSCN (Registered State Change Notification) เป็นของตัวเอง แยกขาดกันแม้ใช้ physical switch ตัวเดียวกัน

ใน vendor world Cisco MDS series ดัน VSAN เป็น differentiator เทียบกับ Brocade มาตลอด

ที่เจอ VSAN บ่อยคือใน data center ของบริษัทใหญ่ที่ต้อง host หลาย business unit หรือ cloud provider ที่แยก customer แต่ละราย โดยที่ทั้งหมดยังอยู่บน fabric ทางกายภาพเดียวกัน

1. NAT — Network Address Translation#

NAT = คนแปลที่อยู่ ที่หน้าหมู่บ้าน คอยแปลง private IP (10.x.x.x, 192.168.x.x) ของเครื่องในบริษัท ↔ public IP ที่ออกอินเทอร์เน็ต

ลองนึก — บริษัทมีพนักงาน 500 คน ทุกคนใช้ IP 192.168.x.x (private ใช้ได้แค่ในบ้าน) พอออกเน็ตทุกคน NAT จะแปลให้เห็นเป็น IP เดียว 203.150.220.55 (public ที่โลกเห็น)

ประโยชน์ด้าน security ที่หลายคนไม่รู้ — NAT มัน ซ่อน internal IP ของบริษัทจากภายนอก โจรที่สแกน internet จะเห็นแค่ public IP ไม่รู้เลยว่าภายในบริษัทมีโครงสร้างยังไง มี server กี่ตัว

2. Proxy Server — คนกลางส่งของ#

Proxy = ตัวกลางที่รับ request จาก user แล้วส่งต่อให้ internet จากนั้นค่อยส่งผลลัพธ์กลับมา แทนที่ user จะออกหน้าเอง

ใช้บ่อยคือ:

• Filter content block เว็บที่ไม่อนุญาต (gambling / adult)
• Cache เก็บผลลัพธ์ที่คนหลายคนถามซ้ำๆ (เช่น Google homepage) ตอบเร็ว ลด bandwidth
• Log activity ทุกครั้งที่ user ออกเน็ตจะ log ที่ proxy

ใน Part 4 จะเจอทั้ง forward proxy (จาก user ออก) กับ reverse proxy (จาก internet เข้า server เช่น CDN ของ Cloudflare) รายละเอียดจะลงใน EP.30

3. DMZ — Demilitarized Zone#

DMZ = เขตกันชนระหว่างถนนใหญ่ (internet) กับใจกลางเมือง (internal network)

ใน DMZ จะวาง server ที่ต้อง expose ออก internet เช่น web server, mail server, public API แต่ ไม่ใช่ใจกลาง

ถ้า DMZ ถูกบุก internal network ก็ยัง ปลอดภัย เพราะมี firewall อีกชั้นกั้นอยู่

DMZ คือหลักการ defense in depth ที่เราคุยกันใน EP.04 ในเวอร์ชั่นที่จับต้องได้ที่สุดในชีวิตจริง

4. VLAN — Virtual LAN#

VLAN = แยก network ที่อยู่บน physical switch ตัวเดียวกัน ให้กลายเป็น หลาย logical network

ตัวอย่าง — ฝ่าย Finance กับฝ่าย HR ใช้ switch ตัวเดียวกันที่ชั้น 5 ของออฟฟิศ แต่ตั้ง VLAN ให้ คุยข้าม VLAN ไม่ได้ (ถ้าจะคุย ต้องผ่าน router + firewall)

ผลลัพธ์คือถ้าเครื่อง HR โดน malware ก็ไม่ลามไป Finance แบบอัตโนมัติ

VLAN ทำงานที่ Layer 2 เป็น cheap-and-effective control พื้นฐานที่ทุกบริษัทขนาด 50 คนขึ้นไปควรมีอยู่แล้ว

Static VLAN vs Dynamic VLAN เป็น 2 วิธี assign port → VLAN ที่ผู้บริหารจะเจอใน proposal ของทีม network

Static VLAN = admin map port → VLAN ด้วยมือ (port 1-12 ของ switch = VLAN 10 ของ Finance, port 13-24 = VLAN 20 ของ HR)

• จุดเด่น: เรียบง่าย คาดเดาได้ debug ง่าย
• จุดอ่อน: พนักงานย้ายโต๊ะที = admin ต้อง reconfig switch ใหม่

Dynamic VLAN = assign ตาม identity ของ user (ผ่าน RADIUS + 802.1X) หรือตาม MAC address (VMPS)

• จุดเด่น: VLAN ตาม user ไปทุกที่ ย้ายโต๊ะไม่ต้อง reconfig
• จุดอ่อน: ซับซ้อน ต้องมี RADIUS infrastructure ที่ทำงานเสถียร

6 คุณสมบัติด้าน security ของ VLAN ที่ควรรู้:

1. Broadcast isolation — broadcast domain แยกตาม VLAN ไม่ลามข้าม VLAN
2. Layer 2 segmentation — host ใน VLAN A คุยกับ host ใน VLAN B ไม่ได้ ถ้าไม่มี router มาเชื่อม
3. 802.1Q tagging — frame ที่วิ่งบน trunk port จะถูก tag ด้วย VLAN ID ทำให้ switch ปลายทางรู้ว่า frame นี้เป็นของ VLAN ไหน
4. Access vs Trunk port — access port = อยู่ใน VLAN เดียว (ต่อ end device), trunk port = ขน traffic หลาย VLAN พร้อม tag (ต่อระหว่าง switch)
5. Native VLAN — frame ที่ untagged บน trunk port จะถูก map ไปที่ native VLAN (default = VLAN 1) คำแนะนำด้าน security คือ เปลี่ยน native VLAN จาก 1 เป็นเลขอื่น เพื่อกัน VLAN hopping
6. Private VLAN (PVLAN) — แบ่ง sub-VLAN ภายใน VLAN ใหญ่ มี 3 mode (isolated / community / promiscuous) ใช้บ่อยใน hosting environment ที่ลูกค้าหลายรายอยู่ subnet เดียวกันแต่ห้ามคุยกัน

5. VPN — Virtual Private Network#

VPN = สร้าง encrypted tunnel ผ่าน internet ให้เครื่องที่อยู่ remote ดูเหมือน อยู่ใน internal network

ใช้บ่อยใน:

• Remote work พนักงานทำงานที่บ้าน VPN เข้า office network
• Branch office สาขาเชียงใหม่ VPN เข้า HQ ที่กรุงเทพ
• Site-to-site บริษัท 2 บริษัท VPN ระหว่างกัน

VPN มีหลายโปรโตคอล (IPsec / SSL VPN / WireGuard) ที่ทำงานที่ Layer ต่างกัน รายละเอียดเดี๋ยวลงใน EP.30 ครับ

6. Converged Protocols / VoIP — ของหลายอย่างวิ่งบนรางเดียว#

Converged protocols = voice (โทรศัพท์) + data + video วิ่งบน IP network เดียวกัน

เมื่อก่อนของพวกนี้แยกกันหมด โทรศัพท์ใช้สายโทรศัพท์ทองแดง network ใช้ Ethernet video ใช้สาย coaxial แต่ปัจจุบันรวมทุกอย่างเป็น IP หมดแล้ว

ประโยชน์ cost ลดมาก management ก็ง่ายกว่า

ความเสี่ยง phone outage = network outage ถ้า network ล่ม โทรศัพท์ก็ใช้ไม่ได้พร้อมกันไปด้วย แต่ก่อน network ล่ม โทรศัพท์ทองแดงยังโทรได้อยู่นะครับ

VoIP เป็นตัวอย่างที่เห็นชัดสุด ทุกบริษัทที่ใช้ Microsoft Teams / Zoom / Google Meet เป็นหลัก = ใช้ converged protocol อยู่แล้ว

1. Throughput — ปริมาณจริงที่ส่งได้#

Throughput = ปริมาณข้อมูลจริงที่ส่งได้ต่อหน่วยเวลา (วัดเป็น Mbps / Gbps)

สำคัญตรงที่ต้องแยกออกจาก Bandwidth ซึ่งเป็น theoretical max bandwidth = “ถนนกว้างกี่เลน” ส่วน throughput = “รถวิ่งได้จริงกี่คันต่อนาที”

ตัวอย่าง — package ของ ISP ที่ขายว่า 1 Gbps = bandwidth แต่ตอน peak hour throughput จริงอาจเหลือ 200 Mbps เพราะคนใช้เยอะ ISP overcommit

2. Latency — เวลาเดินทางของ packet#

Latency = เวลาที่ packet ใช้เดินทาง วัดเป็น millisecond (ms)

มี 2 แบบ:

• One-way latency จาก A → B
• Round-trip latency (RTT) A → B → A (ที่คำสั่ง ping ใช้)

ค่าอ้างอิงคร่าวๆ:

• LAN ภายในออฟฟิศ < 1 ms
• กรุงเทพ → กรุงเทพ (ผ่าน internet) 5-15 ms
• กรุงเทพ → Singapore 30-50 ms
• กรุงเทพ → US East Coast 200-300 ms

สำคัญมากสำหรับ video call, trading platform, online gaming, remote work

3. Jitter — ความแปรปรวนของ latency#

Jitter = latency คงที่หรือไม่คงที่

ตัวอย่าง — packet 100 ตัวที่ถึงปลายทาง:

• Packet 1: 20 ms
• Packet 2: 22 ms
• Packet 3: 21 ms
• Packet 4: 80 ms ⚠️
• Packet 5: 19 ms

จะเห็นว่า latency เฉลี่ย OK แต่ packet 4 มันช้าโดดออกมา = jitter สูง

ทำไมสำคัญ ก็เพราะ VoIP กับ video call ต้องคงที่ ไม่งั้นเสียงขาด video กระตุก ระบบที่ bandwidth พอ latency เฉลี่ยก็ต่ำ แต่ jitter สูง = video call ใช้ไม่ได้จริง

4. Packet Loss — % ของ packet ที่หาย#

Packet loss = % ของ packet ที่ส่งไปแล้วไม่ถึง

ค่าอ้างอิงคร่าวๆ:

• < 0.1% เยี่ยม
• 0.1-1% ยอมรับได้สำหรับงานทั่วไป
• > 1% ปัญหาแล้วสำหรับ business-critical
• > 5% VoIP กับ video call ใช้ไม่ได้

สาเหตุที่เจอบ่อย congestion (รถติด), hardware fail, malware ที่กิน bandwidth, faulty cable

มุมผู้บริหาร: เวลา IT report ว่า “network ของเราดี bandwidth 1 Gbps” ถามต่อ 3 คำถามครับ: “throughput จริงตอน peak hour เท่าไร?”, “jitter สูงสุดที่วัดได้ในเดือนนี้กี่ ms?”, “packet loss เฉลี่ยกี่ %?” ถ้าตอบไม่ได้ทันที = ทีมไม่ได้ monitor metrics ที่สำคัญ ระบบที่ bandwidth ใหญ่แต่ jitter สูง เสียเงินซื้อเลนเพิ่มไปก็ไม่มีประโยชน์ ต้องแก้ที่อื่น เช่น QoS, replace switch หรือ fix routing