Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network

คู่มือการทำ L3-Based VLAN บนอุปกรณ์ Cisco SG350 Series แบบ GUI


ในหัวข้อนี้จะเป็นการทำ Inter VLAN แบบ SVI (Switch Virtual Interface) ครับ

โดยจะให้ L3 Switch เป็น DHCP Server ด้วย รวมถึงตัวอย่างในการใช้ ACL สำหรับ Block Traffice ระหว่าง VLAN


(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan.jpg)


ตัวอย่างจะใช้ L3 Switch รุ่น Cisco SG350-10 (https://sysnetcenter.com/cisco/cisco-sg350-10-l3-managed-switch-8-port-gigabit-sfp-routing-vlans-web) Firmware Version 2.5.5.47 (https://sysnetcenter.com/firmware/cisco-sg350_2.5.5.47_release_cisco_signed.bin) ครับ และ Router จะเป็นรุ่น Draytek Vigor3220 (https://sysnetcenter.com/draytek/draytek-vigor3220-4-wan-load-balance-vpn-firewall-router)


VLAN 1: Port G1 เชื่อมต่อกับ Router IP: 192.168.1.11/24
VLAN 10: Port G2 สำหรับ Server วง Network 10.0.1.0/24
VLAN 20: Port G3 สำหรับ CCTV วง Network 10.0.2.0/24
VLAN 30: Port G4 สำหรับ Account วง Network 10.0.3.0/24
VLAN 40: Port G5 สำหรับ Sale วง Network 10.0.4.0/24

และ ต้องการ Block Traffice ระหว่าง VLAN 30 และ VLAN 40


Default IP ของ Cisco SG350 จะเป็น 192.168.1.254 แต่ถ้าต่อเข้า Router ต้องตรวจสอบครับว่าได้ IP Address อะไรไป และ Default User/Password = cisco/cisco


1. ทำการเปลี่ยน IP Address ของ Cisco Switch

Menu IP Configuration --> IPv4 Interface

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-001.gif)



2. สร้าง VLAN

Menu VLAN Management --> VLAN Settings ทำการสร้าง Vlan 10, 20, 30 และ 40

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-002.gif)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-003.gif)



3. กำหนด Port Member ให้เป็นสมาชิกใน VLAN

Menu VLAN Management --> Port to VLAN


ให้เลือก VLAN ID ก่อน จากนั้น Click [Go] ครับ

ในรูป เป็นการเลือก VLAN 10 และกำหนดให้ Port G2 ที่จะ Untaged Frame VLAN ออกจาก Port นั้นๆ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-004.gif)


คำว่า Untaged ในอุปกรณ์ Switch ที่ไม่ใช่ Catalyst จริงๆแล้วมันก็คือ Access Port ครับ จะหมายถึงข้อมูลที่ออกมาจาก Port นั้นๆ ได้ถอด ป้าย VLAN ออก เพราะถ้ามี ป้าย VLAN พวก Ethernet Card ใน PC หรือ Notebook มันจะไม่สามารถอ่านข้อมูลได้ครับ



อีกตัวอย่าง Port G3 จะเป็น VLAN 20

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-005.gif)



ถ้าดูผ่าน cli จะได้ประมาณนี้ครับ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-006.gif)


ทีนี้ ถ้าผมต้องการส่ง Traffic ที่มี VLAN จาก Port 10 ไปยัง Switch ตัวที่ 2 ก็แค่กำหนด Port G10 ให้เป็น Trunk Port ครับ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-033.gif)


อยากส่ง VLAN ไหนออกไปด้วย ก็แค่เลือก Tagged VLAN นั้นๆครับ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-034.gif)


ทุก VLAN จะะมีการวิ่งออกผ่าน Port G10

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-035.gif)



4. กำหนด IP Address ให้แต่ละ VLAN

Menu IP Configulation --> IPv4 Interfaces

Enable: IPv4 Routing

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-007.gif)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-008.gif)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-009.gif)



5. กำหนด DNS เพื่อให้ออก Internet ได้ โดยชี้ไปที่ DNS ของ Google

Menu IP Configulation --> DNS --> DNS Settings

Default Domain Name: 8.8.8.8

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-010.gif)



6. กำหนด DHCP Server

Menu DHCP จะถูกซ่อนไว้ ให้เลือก Display Mode เป็น Advanced

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-011.gif)


IP Configuration --> IPv4 Management and Interfaces --> DHCP Server --> Properties

Enable DHCP Server

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-012.gif)


สร้าง IP Pools

IP Configuration --> IPv4 Management and Interfaces --> DHCP Server --> Network Pools

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-013.gif)



Pool Name: ชื่อ Pool
Subnet IP Address: 10.0.1.0 (วง Network VLAN 10)
Network Mask: 255.255.255.0
Address Pool Start (IP เริ่มต้นที่จะแจกให้ Client): 10.0.1.100
Address Pool End (IP สุดท้ายที่จะแจกให้ Client): 10.0.1.254
Domain Name Server IP Address: Other 8.8.8.8 (ถ้าไม่ใส่ เครื่อง Client จะออก Internet ไม่ได้)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-014.gif)



ทำทุก Network

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-015.gif)


ทดสอบ

นำ PC ต่อเข้า Port G2 ต้องได้ IP Address จาก DHCP Server แต่ยังออก Internet ไม่ได้นะครับ ต้องทำ Route ก่อน

เข้า Menu IP Configuration --> IPv4 Management and Interfaces --> DHCP Server --> Address Binding เพื่อดูว่า L3-Switch ได้แจก IP อะไรไปบ้าง

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-016.gif)



7. ทำ Static Route

Menu IP Configuration --> IPv4 Management and Interfaces --> IPv4 Static Routes

Destination IP Prefix: 0.0.0.0 (เป็นการทำ Default Route)
Prefix Length: 0
Next Hop Router IP Address: 192.168.1.1 (IP ของ Router Draytek)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-017.gif)



Login เข้าอุปกรณ์ Router Draytek เพื่อทำ Route กลับมาที่ Network แต่ละ VLAN

Menu Routing --> Static Routes

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-018.gif)



Destination IP Address: 10.0.1.10 (วง Network ที่ต้องการ Route)
Subnet Mask: 255.255.255.0
Gateway IP Address: 192.168.1.11 (IP ของ L3-Switch)


(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-019.gif)



ทำให้ครบทุก Network ที่ต้องการ Route ไปหา

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-020.gif)



ทดสอบ

เครื่อง PC ต่อสาย Lan เข้ากับ Port G4 ได้ IP: 10.0.3.100

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-036.gif)



Ping ไปยัง google

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-022.gif)



เนื่องจากแต่ละวง Network VLAN เป็น Connected Route จะเชื่อมต่อหากันแต่ละ VLAN ได้


Ping ไปปยัง PC วง VLAN 40

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-037.gif)



8. ทำ Access Control List (ACL) เพื่อ BLock ระหว่าง VLAN 30 กับ VLAN 40

Menu Access Control --> IPv4-Based ACL


ตั้งชื่อ ACL Name

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-024.gif)



Menu Access Control --> IPv4-Based ACE

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-025.gif)


Priority: 2 (กำหนดได้ตั้ง 1 - 2147...)
Action: Deny
Protocol: Any (IP)
Destination IP Address Value: 10.0.4.0
Destination IP Wildcard Mask: 0.0.0.255 (เป็น Wildcard Mask นะครับ)

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-027.gif)



กำหนด ACL ที่สร้าง ใช้กับ VLAN อะไร


ตัวอย่างเป็น VLAN 30


ตรง Default Action เลือก Permit Any คือนอกเหนือจาก Deny ให้ Permit คือผ่านทั้งหมด ไม่อย่างนั้นจะ Login เข้า Switch ไม่ได้ครับ คือ โดน block หมด


(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-028.gif)



ทดสอบ

ลอง Ping ไปที่ VLAN 40 จะต้อง Ping ไม่ได้ครับ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-029.gif)


และ ต้องออก Internet ได้ปกติ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-038.gif)



ตรวจสอบ PC ที่ต่อเข้ากับ VLAN 40 ที่ไม่มีการ Block จะต้อง Ping ไปยัง VLAN 20 ได้ปกติ

(https://sysnetcenter.com/board/images/cisco-sg350-vlan-gui/cisco-sg350-svi-vlan-031.gif)



หลังจาก Config ทดสอบเป็นที่เรียบร้อยแล้ว อย่าลืม Click [Save] ที่กระพริบๆตรงด้านบนด้วยนะครับ ไม่อย่างนั้น ปิด/เปิด L3-Switch ใหม่ มันจะกลับไปเป็นค่าเริ่มต้น



เรียบร้อยครับ 8)8)