คู่มือการ Config VLAN Zyxel USG Flex พร้อม Policy แต่ละ VLAN

 

 

คู่มือการ Config VLAN Zyxel USG Flex พร้อม Policy แต่ละ VLAN


หัวข้อนี้เป็นตัวอย่างการ Config Inter-VLAN บนอุปกรณ์ Zyxel USG Flex และทำ SSID VLAN Tagging พร้อม Firewall Policy แต่ละ SSID





อุปกรณ์ที่ใช้

Zyxel USG Flex 100 พร้อม License
L2 Managed POE Switch Ruijie Reyee RG-NB3100-8GT2SFP-P
Access Point Ruijie RG-AP710


กำหนด VLAN
VLAN 10: สำหรับ Manager เข้า Website รวมถึง Serivce ต่างๆได้ทั้งหมด
VLAN 20: สำหรับ Staff เข้า Web Site ทั่วๆไปได้ แต่จะ Block Website ที่เป็น Adult Content, Block Youtube, Facebook รวมถึง Bittorrent
VLAN 30: สำหรับ Guest มีหน้า Authenticate ให้ Login เพื่อเข้าใช้งาน Internet และ Block Website ที่เป็น Adult Content


IP Address แต่ละ VLAN และ ชื่อสัญญาณ WIFI
VLAN 10: 192.168.10.1/24 @Manager
VLAN 20: 192.168.20.1/24 @Staff
VLAN 30: 192.168.30.1/24 @Guest



Zyxel USG Firewall

1. สร้าง Zone แต่ละ VLAN เพื่อกำหนด Policy

Menu Configuration --> Object --> Zone --> Add

สร้าง Zone ZONE_VLAN10,  ZONE_VLAN20 และ  ZONE_VLAN30




2. สร้าง Interface VLAN

Menu Network --> Interface --> VLAN --> Add


ตัวอย่าง เป็นการสร้าง VLAN 10

Interface Type: internal
Interface Name: vlan10
Zone: ZONE_VLAN10
Base Port: lan1
Description: Manager






IP Address: 192.169.10.1
Subnet Mask: 255.255.255.0




DHCP: DHCP Server
IP Pool Start Addresds: 192.168.10.2, Pool Size: 30 (จำนวน IP ที่จะแจก)
First DNS Server: Custom Defined 8.8.8.8
Second DNS Server: Custome Defined: 1.1.1.1



Click [OK]



สร้าง VLAN 20 และ VLAN 30 ที่เหลือให้ครบครับ




การสร้าง VLAN เรียบร้อยครับ ถ้าไม่มี Policy อะไรก็ต่อเข้า Port Trunk ของ Switch ได้เลย


3. กำหนด Policy ให้แต่ละ VLAN

Manager ไม่มีการ Block ใดๆทั้งสิ้น
Staff กำหนด Block Web Adult Content, Facebook, Youtube และ Bittorrent
Guest กำหนด Block Web Adult Content

Menu Security Policy  --> Policy Control --> Add

Name: Manager_Policy
Description: VLAN10_Policy
From: ZONE_VLAN10
To: WAN




สร้าง Policy สำหรับ Staff และ Guest




4. Block Application

ในส่วนนี้เป็นการ Block ระดับ L7 ครับ

Menu Security Service --> App Policy

เลือก App ที่ต้องการ Block


ถ้า Click เลือก Application By Category จะมีหมวดให้เลือก ตัวอย่างเลือก Peer To Peer




เลือก Application Bittorrent จากนั้น Click Add To My Application






หรือ Search ในช่อง Search Application by Name ตัวอย่าง หา App Youtube




หลังจาก Click Add To My Appication ให้ Select All แลวเลือก Action Drop (Drop จะมีการเก็บ Log แต่ถ้า Reject จะไม่เก็บครับ ส่วน Forward คือปล่อยให้ใช้ได้ แต่มีการเก็บ Log)



Click Save & Exit




Click Yes เพื่อนำ APP Profile ไปใส่ใน Policy





เลือก Policy Staff




5. Content Filter

เป็นการ Block Website

Menu --> Security Service --> Content Filter --> Add

Name: BLOCK_WEB

Enable Content FIlter Category Service
Action for Managed Web Page: Block ถ้าต้องการให้เก็บ Log ให้ Enable Log




เลือกประเภท Web ที่ต้องการ Block



Click [OK]


เลือก Policy ที่ต้องการ Block Web Site



Enable HTTPS Domain Filter for HTTPS Traffice: Web ที่ Block ถ้าเป็น https ให้เ Block ด้วย
Denied Access Message: ข้อความที่โชว์ เวลา User เข้า Website ที่ Block
Redirect URL: Website ที่จะให้ Redirect ไป




6. Reputation Filter

เป็นการ Block พวก Website ที่เป็นอันตราย จะ Block ทั้ง Manager, Staff และ Guest ครับ

Menu Security Service --> Reputation Filter

Enable
Action: Block
Log: log
Denied Access Message: ข้อความที่โชว์ เวลา User เข้า Website ที่ Block
Redirect URL: Website ที่จะให้ Redirect ไป
Security Threat Categories: เลือกทั้งหมด






Config Ruijie Swtich

กำหนด Port Trunk
Port 1 ต่อเข้า Zyxel USG Flex
Port 8 ต่อเข้า Ruijie Access Point

กำหนด Port Access
Port 3,4: VLAN 10
Port 5,6: VLAN 20

https://cloud-as.ruijienetworks.com/admin3/

ทำการ Add อุปกรณ์เข้า Network ให้เรียบร้อยก่อนะครับ ตามหัวข้อนี้ก็ได้ครับ เป็นการ Add ผ่าน Ruijie App บน Smartphone https://sysnetcenter.com/board/index.php?topic=4853.0/

Menu Monitor --> Device --> Switch --> Click ที่ Serial




สร้าง VLAN ID เพื่อให้ Switch รู้จักหมายเลข VLAN

Menu Config --> Click [Add] --> VLAN ID: 10




สร้าง VLNA 20 และ VLAN 30




Menu Port

Click ที่ Port 1
Type: Trunk



Click [Save]


ทำ Port 8 เป็น Trunk Port ด้วยนะครับ

Click เลือก Port 3 และ Port 4

Type: Access
VLAN: 10



Click [Save]


Port 5, 6 เป็น Access และ VLAN 20



การ Set VLAN บน Switch แค่นี้ครับ




Config Multi-SSID VLAN Tagging ในอุปกรณ์ Ruijie Access Point


1. Menu Configuration --> Wireless --> Basic --> Click [SSID]



SSID: @Manager
Encription: WPA2-PSK
Password: Passord สำหรับ Manager
VLAN ID: 10
Band Steering: Enable




Click [OK]

สร้าง SSID: @Staff กำหนด VLAN ID: 20



สำหรับ SSID @Guest จะต้องสร้าง Captive Portal ก่อน แต่ถ้าไม่ได้ใช้ Feature นี้ ก็เสร็จเรียบร้อยครับ


Menu --> Configuration --> Authentication --> Captive Portal --> Click [Add]




Name: Guest
Login Option: Voucher
Post-Login URL: หลังจาก Login สำเร็จ จะ Redirect ไป Website ที่กำหนด
Portal Page: ปปรับแต่งหน้าจอ Portal




Menu Voucher --> Manage Package

สร้าง Package สำหรับกำหนดการเข้าใช้งาน Internet 

Click [Add Package]
Package Name: ชื่อ Package
Period: ระยะเวลาใช้งาน Internet
Max Download Speed: ความเร็ว Download
Max Upload Speed: ความเร็ว Upload




Click [OK]


สร้าง Voucher --> Multiple Vouchers







กลับไปที่ Menu Wireless --> Basic

สร้าง SSID: @Guest
Encryption: Open
VLAN ID: 30
Ban Steering: Enable
Auth: Enable
Mode: Captive Portal
Seamless Online: 1 Day (ไม่ต้อง Login ใหม่ในระยะเวลา 1 วัน)
เลือก Portal ที่สร้าง: Guest




Click [Save]


สร้างไว้ 3 SSID





ทดสอบ

เชื่อมต่อ SSID: @Guest





จะ Redirect ไปที่หน้า Poral ใส่รหัส Voucher ก็เข้า Internet ได้ครับ




ถ้ามีการพยายามเข้า Website ที่ Block ไว้ จะขึ้นหน้าจอแบบนี้ครับ





ข้อดีของการใช้ Firewall คือ จะปลอดภัยในการเข้า Internet ครับ





เรียบร้อยครับ 8)