Multiple-SSID VLAN Tag อุปกรณ์ Ubiquiti Unifi กับ Switch Cisco และ Mikrotik
หัวข้อนี้จะค่อนข้างเยอะนิดนึงนะครับ สำหรับผู้ที่ต้องการใช้งานควรจะต้องมีพื้นฐานการ Config
Mikrotik,
Ubiquiti Unif AP และ Switch
Cisco Series 200 มาบ้างนะครับ
Config Switch Cisco SG2001. สร้าง VLAN
Menu VLAN Management --> Create VLAN
Vlan10: Sale
Vlan20: Engineer
2. VLAN Management --> Interface Settings
กำหนด
Port G2, G3 เป็น General มี PVID=10
Port G4, G5 เป็น General มี PVID=20
Port G6 เป็น Trunk สำหรับต่อกับ Ubiquiti Unifi AP
Port G8 สำหรับ Manage อุปกรณ์ Switch (เข้า Config) โดยเลือกเป็น Access
3. Menu VLAN Management --> Port to VLAN
VLAN ID: 1
VLAN ID10
PVID 10 มี Member เป็น G1, G2, G3, G6, G7
Taged: G1, G6, G7
PVID: G2, G3
VLAN ID20
PVID 20 มี Member เป็น G1, G4, G5, G6, G7
Taged: G1, G6, G7
PVID: G4, G5
ตรวจสอบ Port VLAN Membership ให้เรียบร้อยครับ ให้ดูว่าแต่ละ Port ที่ทำ VLAN มี Taged อยู่หรือไม่
เช่น Port G6, ทำ VLAN Trunking ไปยัง Unifi AP เป็น trunk ต้องมี Taged 10 และ 20 ติดไปด้วยครับ เพราะบางที config แล้วไม่มีครับ ต้อง เลือก Port แล้ว edit เข้าไป add member
สำหรับอุปกรณ์
Switch Cisco SMB ยังไม่ต้องเลือก Save ก็ได้นะครับ ไว้ทดสอบเรียบร้อยแล้วค่อย Save ครับ เผื่อพลาด ถ้าพลาดแล้ว เข้าหน้า Config ไม่ได้ ให้ทำการ ปิด/เปิด เครื่องใหม่ครับ ค่าจะอยู่ที่ตอน Save ล่าสุด
Config Ubiquiti Unifi APการติดตั้งและใช้งานเบื้องต้น Software Unifi Controller V4 จะอยู่ใน Link นี้ครับ
https://www.sysnetcenter.com/board/index.php?topic=3212.0/1. ทำการ Conneted Unifi ให้เรียบร้อย
2. สร้าง User Group สำหรับ Sale และ Engineer
3. สร้าง WLAN Group
4. สร้าง Wireless Network โดยเลือก WLAN Group ตามที่สร้างในข้อ 3
SSID: Management สำหรับ SSID นี้จะเป็น Default VLAN จำเป็นต้องมีนะครับ ตั้ง Security ให้ยากๆหน่อย
SSID: sale
Vlan: 10
User Group: sale-group
SSID:engineer
Vlan: 20
User Group: engineer-group
สร้างเสร็จแล้วจะได้ตามรูป
เข้า Menu Config ของ Unifi AP --> WLANS --> WLAN Group --> test-wlan-group
Config Mikrotik Routerรายละเอียดย่อยต่างๆ ไม่ขอลงนะครับ รูปเยอะเกินครับ
1. สร้าง VLAN
Menu Interface --> VLAN
Name: vlan10
VLAN ID: 10
Interface: ether4
สร้าง vlan20
Name: vlan20
VLAN ID: 20
Interface: ether4
จะได้ตามรูปครับ
2. สร้าง Address ให้ VLAN
Vlan10: 192.168.100.1
Vlan20: 192.168.200.1
จะได้ตามรูป
3. สร้าง DHCP Server ให้ Vlan
4. สร้าง NAT จากรูปผมทดสอบให้เฉพาะ engineer ออก Internet ได้ ส่วน Sale ออก Internet ไม่ได้
สร้าง Masquerade เฉพาะ Address 192.168.200.0/24 (Vlan20)
ทดสอบให้ PC#1 เชื่อมต่อ Wireless engineer ได้ IP 192.168.200.254
ให้ PC#2 เชื่อมต่อ Wireless engineer ได้ IP 192.168.100.254
เครื่อง PC#1 ทำการ Ping 8.8.8.8 ออก Internet ได้ปกติ แล้ว Ping ข้ามวง VLAN ไปยัง PC#2 Ping ได้ปกติ
ส่วนเครื่อง PC#2 Ping ออก Internet ไม่ได้ เพราะไม่ได้สร้าง NAT เอาไว้ครับ ถ้าต้องการให้ออก Internet ได้ก็สร้าง Nat ขึ้นมาครับ
ทีนี้จะทำการ Block ระหว่าง VLAN ไม่ให้เชื่อมต่อถึงกันครับเข้า Winbox --> Firewall --> Filter Rules --> Add
Chain: forward
Out.Interface: ether1
Action: accept
สร้าง Filer Rules สำหรับ Block Traffic อีกอันนึงครับ
Chain: forward
Src.Address: 192.168.0.1-192.168.255.255 ถ้าใช้ Class อื่นเปลี่ยนตาม Class IP ที่ใช้ได้เลยนะครับ
Action: reject
Reject With: icmp net prohibited
เรียงรายการตามนี้นะครับ อย่าสลับบรรทัดกัน
ทีนี้ทดสอบ Ping ไป PC#2 จะ Ping ไม่เจอ แต่จะออก Internet ได้ปกติครับ
เปลี่ยนเป็น Connect SSID: sale เหมือน PC#2
จะ Ping หากันได้
เรียบร้อยครับ ติดปัญหาอะไร Post ที่หัวข้อนี้ได้เลยนะครับ
Share Topic
