Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network
การ Config อุปกรณ์ เครือข่าย Network Device => อุปกรณ์ Zyxel (ไซเซล) => หัวข้อที่ตั้งโดย: yod เมื่อ วันที่ 30 กันยายน 2020, 18:47:11
คู่มือการ Config VLAN Zyxel USG Flex พร้อม Policy แต่ละ VLANหัวข้อนี้เป็นตัวอย่างการ Config Inter-VLAN บนอุปกรณ์ Zyxel USG Flex และทำ SSID VLAN Tagging พร้อม Firewall Policy แต่ละ SSID(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-000.jpg)อุปกรณ์ที่ใช้Zyxel USG Flex 100 พร้อม License (https://sysnetcenter.com/home/zyxel-usg-flex-100-unified-security-gateway-firewall#/27-zyxel_enterprise_pack-bundled_1_year_all_license_services)L2 Managed POE Switch Ruijie Reyee RG-NB3100-8GT2SFP-P (https://sysnetcenter.com/reyee-network/reyee-rg-nbs3100-8gt2sfp-p-l2-cloud-managed-poe-switch-8-port-gigabit)Access Point Ruijie RG-AP710 (https://sysnetcenter.com/ruijie-networks/ruijie-rg-ap710-wireless-access-point-ac-mimo-cloud)กำหนด VLANVLAN 10: สำหรับ Manager เข้า Website รวมถึง Serivce ต่างๆได้ทั้งหมดVLAN 20: สำหรับ Staff เข้า Web Site ทั่วๆไปได้ แต่จะ Block Website ที่เป็น Adult Content, Block Youtube, Facebook รวมถึง BittorrentVLAN 30: สำหรับ Guest มีหน้า Authenticate ให้ Login เพื่อเข้าใช้งาน Internet และ Block Website ที่เป็น Adult ContentIP Address แต่ละ VLAN และ ชื่อสัญญาณ WIFIVLAN 10: 192.168.10.1/24 @ManagerVLAN 20: 192.168.20.1/24 @StaffVLAN 30: 192.168.30.1/24 @GuestZyxel USG Firewall1. สร้าง Zone แต่ละ VLAN เพื่อกำหนด PolicyMenu Configuration --> Object --> Zone --> Addสร้าง Zone ZONE_VLAN10, ZONE_VLAN20 และ ZONE_VLAN30(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-001.jpg)2. สร้าง Interface VLANMenu Network --> Interface --> VLAN --> Addตัวอย่าง เป็นการสร้าง VLAN 10Interface Type: internalInterface Name: vlan10Zone: ZONE_VLAN10Base Port: lan1Description: Manager(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-002.jpg)IP Address: 192.169.10.1Subnet Mask: 255.255.255.0(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-003.jpg)DHCP: DHCP ServerIP Pool Start Addresds: 192.168.10.2, Pool Size: 30 (จำนวน IP ที่จะแจก)First DNS Server: Custom Defined 8.8.8.8Second DNS Server: Custome Defined: 1.1.1.1(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-004.jpg)Click [OK]สร้าง VLAN 20 และ VLAN 30 ที่เหลือให้ครบครับ(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-005.jpg)การสร้าง VLAN เรียบร้อยครับ ถ้าไม่มี Policy อะไรก็ต่อเข้า Port Trunk ของ Switch ได้เลย3. กำหนด Policy ให้แต่ละ VLANManager ไม่มีการ Block ใดๆทั้งสิ้นStaff กำหนด Block Web Adult Content, Facebook, Youtube และ BittorrentGuest กำหนด Block Web Adult ContentMenu Security Policy --> Policy Control --> AddName: Manager_PolicyDescription: VLAN10_PolicyFrom: ZONE_VLAN10To: WAN(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-006.jpg)สร้าง Policy สำหรับ Staff และ Guest (https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-007.jpg)4. Block Application ในส่วนนี้เป็นการ Block ระดับ L7 ครับMenu Security Service --> App Policyเลือก App ที่ต้องการ Blockถ้า Click เลือก Application By Category จะมีหมวดให้เลือก ตัวอย่างเลือก Peer To Peer(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-023.jpg)เลือก Application Bittorrent จากนั้น Click Add To My Application(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-024.jpg)(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-025.jpg)หรือ Search ในช่อง Search Application by Name ตัวอย่าง หา App Youtube(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-026.jpg)หลังจาก Click Add To My Appication ให้ Select All แลวเลือก Action Drop (Drop จะมีการเก็บ Log แต่ถ้า Reject จะไม่เก็บครับ ส่วน Forward คือปล่อยให้ใช้ได้ แต่มีการเก็บ Log)(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-027.jpg)Click Save & Exit(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-028.jpg)Click Yes เพื่อนำ APP Profile ไปใส่ใน Policy(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-029.jpg)เลือก Policy Staff(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-030.jpg)5. Content Filterเป็นการ Block WebsiteMenu --> Security Service --> Content Filter --> AddName: BLOCK_WEBEnable Content FIlter Category ServiceAction for Managed Web Page: Block ถ้าต้องการให้เก็บ Log ให้ Enable Log(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-031.jpg)เลือกประเภท Web ที่ต้องการ Block(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-032.jpg)Click [OK]เลือก Policy ที่ต้องการ Block Web Site(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-034.jpg)Enable HTTPS Domain Filter for HTTPS Traffice: Web ที่ Block ถ้าเป็น https ให้เ Block ด้วยDenied Access Message: ข้อความที่โชว์ เวลา User เข้า Website ที่ BlockRedirect URL: Website ที่จะให้ Redirect ไป (https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-035.jpg)6. Reputation Filterเป็นการ Block พวก Website ที่เป็นอันตราย จะ Block ทั้ง Manager, Staff และ Guest ครับMenu Security Service --> Reputation FilterEnableAction: BlockLog: logDenied Access Message: ข้อความที่โชว์ เวลา User เข้า Website ที่ BlockRedirect URL: Website ที่จะให้ Redirect ไป Security Threat Categories: เลือกทั้งหมด(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-036.jpg)Config Ruijie Swtichกำหนด Port TrunkPort 1 ต่อเข้า Zyxel USG FlexPort 8 ต่อเข้า Ruijie Access Pointกำหนด Port AccessPort 3,4: VLAN 10Port 5,6: VLAN 20https://cloud-as.ruijienetworks.com/admin3/ทำการ Add อุปกรณ์เข้า Network ให้เรียบร้อยก่อนะครับ ตามหัวข้อนี้ก็ได้ครับ เป็นการ Add ผ่าน Ruijie App บน Smartphone https://sysnetcenter.com/board/index.php?topic=4853.0/Menu Monitor --> Device --> Switch --> Click ที่ Serial(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-008.jpg)สร้าง VLAN ID เพื่อให้ Switch รู้จักหมายเลข VLANMenu Config --> Click [Add] --> VLAN ID: 10(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-009.jpg)สร้าง VLNA 20 และ VLAN 30(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-010.jpg)Menu Port Click ที่ Port 1 Type: Trunk(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-011.jpg)Click [Save]ทำ Port 8 เป็น Trunk Port ด้วยนะครับClick เลือก Port 3 และ Port 4Type: AccessVLAN: 10(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-012.jpg)Click [Save]Port 5, 6 เป็น Access และ VLAN 20(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-013.jpg)การ Set VLAN บน Switch แค่นี้ครับConfig Multi-SSID VLAN Tagging ในอุปกรณ์ Ruijie Access Point1. Menu Configuration --> Wireless --> Basic --> Click [SSID](https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-014.jpg)SSID: @ManagerEncription: WPA2-PSKPassword: Passord สำหรับ ManagerVLAN ID: 10Band Steering: Enable(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-015.jpg)Click [OK]สร้าง SSID: @Staff กำหนด VLAN ID: 20สำหรับ SSID @Guest จะต้องสร้าง Captive Portal ก่อน แต่ถ้าไม่ได้ใช้ Feature นี้ ก็เสร็จเรียบร้อยครับMenu --> Configuration --> Authentication --> Captive Portal --> Click [Add](https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-016.jpg)Name: GuestLogin Option: VoucherPost-Login URL: หลังจาก Login สำเร็จ จะ Redirect ไป Website ที่กำหนดPortal Page: ปปรับแต่งหน้าจอ Portal (https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-017.jpg)Menu Voucher --> Manage Packageสร้าง Package สำหรับกำหนดการเข้าใช้งาน Internet Click [Add Package]Package Name: ชื่อ PackagePeriod: ระยะเวลาใช้งาน InternetMax Download Speed: ความเร็ว DownloadMax Upload Speed: ความเร็ว Upload(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-018.jpg)Click [OK]สร้าง Voucher --> Multiple Vouchers(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-019.jpg)(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-020.jpg)กลับไปที่ Menu Wireless --> Basic สร้าง SSID: @GuestEncryption: OpenVLAN ID: 30Ban Steering: EnableAuth: EnableMode: Captive PortalSeamless Online: 1 Day (ไม่ต้อง Login ใหม่ในระยะเวลา 1 วัน)เลือก Portal ที่สร้าง: Guest(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-021.jpg)Click [Save]สร้างไว้ 3 SSID(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-022.jpg)ทดสอบเชื่อมต่อ SSID: @Guest(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-039.jpg)จะ Redirect ไปที่หน้า Poral ใส่รหัส Voucher ก็เข้า Internet ได้ครับ(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-040.jpg)ถ้ามีการพยายามเข้า Website ที่ Block ไว้ จะขึ้นหน้าจอแบบนี้ครับ(https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-038.jpg)ข้อดีของการใช้ Firewall คือ จะปลอดภัยในการเข้า Internet ครับ (https://sysnetcenter.com/board/images/zyxel/usg-vlan/zyxel-usg-vlan-042.jpg)เรียบร้อยครับ 8)8)