Multiple-SSID VLAN Tag อุปกรณ์ Ubiquiti Unifi กับ Switch Cisco และ Mikrotik

[yod]

Multiple-SSID VLAN Tag อุปกรณ์ Ubiquiti Unifi กับ Switch Cisco และ Mikrotik

หัวข้อนี้จะค่อนข้างเยอะนิดนึงนะครับ สำหรับผู้ที่ต้องการใช้งานควรจะต้องมีพื้นฐานการ Config Mikrotik, Ubiquiti Unif AP และ Switch Cisco Series 200 มาบ้างนะครับ


Config Switch Cisco SG200

1. สร้าง VLAN
Menu VLAN Management --> Create VLAN



Vlan10: Sale
Vlan20: Engineer


2. VLAN Management --> Interface Settings

กำหนด
Port G2, G3 เป็น General มี PVID=10
Port G4, G5 เป็น General มี PVID=20

Port G6 เป็น Trunk สำหรับต่อกับ Ubiquiti Unifi AP
Port G8 สำหรับ Manage อุปกรณ์ Switch (เข้า Config) โดยเลือกเป็น Access




3. Menu VLAN Management --> Port to VLAN

VLAN ID: 1



VLAN ID10
PVID 10 มี Member เป็น G1, G2, G3, G6, G7
Taged: G1, G6, G7
PVID: G2, G3



VLAN ID20
PVID 20 มี Member เป็น G1, G4, G5, G6, G7
Taged: G1, G6, G7
PVID: G4, G5




ตรวจสอบ Port VLAN Membership ให้เรียบร้อยครับ ให้ดูว่าแต่ละ Port ที่ทำ VLAN มี Taged อยู่หรือไม่

เช่น Port G6, ทำ VLAN Trunking ไปยัง Unifi AP เป็น trunk ต้องมี Taged 10 และ 20 ติดไปด้วยครับ เพราะบางที config แล้วไม่มีครับ ต้อง เลือก Port แล้ว edit เข้าไป add member




สำหรับอุปกรณ์ Switch Cisco SMB ยังไม่ต้องเลือก Save ก็ได้นะครับ ไว้ทดสอบเรียบร้อยแล้วค่อย Save ครับ เผื่อพลาด ถ้าพลาดแล้ว เข้าหน้า Config ไม่ได้ ให้ทำการ ปิด/เปิด เครื่องใหม่ครับ ค่าจะอยู่ที่ตอน Save ล่าสุด





Config Ubiquiti Unifi AP

การติดตั้งและใช้งานเบื้องต้น Software Unifi Controller V4 จะอยู่ใน Link นี้ครับ https://www.sysnetcenter.com/board/index.php?topic=3212.0/


1. ทำการ Conneted Unifi ให้เรียบร้อย




2. สร้าง User Group สำหรับ Sale และ Engineer




3. สร้าง WLAN Group




4. สร้าง Wireless Network โดยเลือก WLAN Group ตามที่สร้างในข้อ 3

SSID: Management สำหรับ SSID นี้จะเป็น Default VLAN จำเป็นต้องมีนะครับ ตั้ง Security ให้ยากๆหน่อย




SSID: sale
Vlan: 10
User Group: sale-group




SSID:engineer
Vlan: 20
User Group: engineer-group



สร้างเสร็จแล้วจะได้ตามรูป




เข้า Menu Config ของ Unifi AP --> WLANS --> WLAN Group --> test-wlan-group




Config Mikrotik Router

รายละเอียดย่อยต่างๆ ไม่ขอลงนะครับ รูปเยอะเกินครับ 

1. สร้าง VLAN
Menu Interface --> VLAN
Name: vlan10
VLAN ID: 10
Interface: ether4




สร้าง vlan20
Name: vlan20
VLAN ID: 20
Interface: ether4

จะได้ตามรูปครับ




2. สร้าง Address ให้ VLAN

Vlan10: 192.168.100.1
Vlan20: 192.168.200.1




จะได้ตามรูป




3. สร้าง DHCP Server ให้ Vlan




4. สร้าง NAT จากรูปผมทดสอบให้เฉพาะ engineer ออก Internet ได้ ส่วน Sale ออก Internet ไม่ได้

สร้าง Masquerade เฉพาะ Address 192.168.200.0/24 (Vlan20)





ทดสอบ

ให้ PC#1 เชื่อมต่อ Wireless engineer ได้ IP 192.168.200.254




ให้ PC#2 เชื่อมต่อ Wireless engineer ได้ IP 192.168.100.254




เครื่อง PC#1 ทำการ Ping 8.8.8.8 ออก Internet ได้ปกติ แล้ว Ping ข้ามวง VLAN ไปยัง PC#2 Ping ได้ปกติ




ส่วนเครื่อง PC#2 Ping ออก Internet ไม่ได้ เพราะไม่ได้สร้าง NAT เอาไว้ครับ ถ้าต้องการให้ออก Internet ได้ก็สร้าง Nat ขึ้นมาครับ




ทีนี้จะทำการ Block ระหว่าง VLAN ไม่ให้เชื่อมต่อถึงกันครับ

เข้า Winbox --> Firewall --> Filter Rules --> Add

Chain: forward
Out.Interface: ether1



Action: accept




สร้าง Filer Rules สำหรับ Block Traffic อีกอันนึงครับ

Chain: forward
Src.Address: 192.168.0.1-192.168.255.255 ถ้าใช้ Class อื่นเปลี่ยนตาม Class IP ที่ใช้ได้เลยนะครับ



Action: reject
Reject With: icmp net prohibited




เรียงรายการตามนี้นะครับ อย่าสลับบรรทัดกัน




ทีนี้ทดสอบ Ping ไป PC#2 จะ Ping ไม่เจอ แต่จะออก Internet ได้ปกติครับ




เปลี่ยนเป็น Connect SSID: sale เหมือน PC#2




 จะ Ping หากันได้




เรียบร้อยครับ ติดปัญหาอะไร Post ที่หัวข้อนี้ได้เลยนะครับ