วิธีแยก Guest VLAN ด้วย Reyee Gateway และ Access Point

วิธีแยก Guest VLAN ด้วย Reyee Gateway และ Access Point

ในงานระบบ Network ที่มี Guest หรือบุคคลภายนอกเข้ามาใช้งาน เช่น ลูกค้า ผู้มาติดต่อ ผู้พักอาศัยที่ต้องเชื่อมต่อ Wi-Fi เพื่อใช้งาน Internet ผมจะแนะนำลูกค้าทุกครั้งว่า ควรแยกวง Network สำหรับ Guest ออกมาต่างหาก โดยทำเป็น Guest VLAN หรือ VLAN สำหรับผู้ใช้งานภายนอกโดยเฉพาะ ไม่ควรให้ใช้งานปะปนกับวง Network หลักที่พนักงาน เครื่อง Server เครื่องบัญชี NAS กล้องวงจรปิด หรืออุปกรณ์สำคัญอื่น ๆ ใช้อยู่

เหตุผลหลัก เราไม่รู้ว่าอุปกรณ์ของ Guest แต่ละคนมีความปลอดภัยมากแค่ไหน บางเครื่องอาจมีไวรัส มัลแวร์ หรือโปรแกรมแปลก ๆ ติดอยู่โดยที่เจ้าของเครื่องเองก็ไม่รู้ตัว พอเชื่อมต่อเข้ามาในวง Network เดียวกับระบบภายใน ก็อาจเริ่ม Scan Port ค้นหาอุปกรณ์อื่นในระบบ พยายาม Brute Force รหัสผ่าน หรือในกรณีที่หนักกว่านั้น อาจมี Ransomware แพร่กระจายไปยังเครื่องอื่นได้

ลองนึกภาพง่าย ๆ เหมือนมีคนเป็นไข้หวัดใหญ่เข้ามาอยู่ในห้องเดียวกับเรา ถ้าไม่มีการแยกพื้นที่ โอกาสที่คนอื่นจะติดไปด้วยก็สูงขึ้น ระบบ Network ก็คล้ายกัน ถ้าเราแยก Guest Wi-Fi ออกมาเป็น VLAN เฉพาะ และกำหนด Policy ไม่ให้เข้าถึงวง Network หลัก ความเสี่ยงก็จะลดลงมาก

กรณีที่มีผู้ใช้งาน Guest จำนวนมาก เช่น หอพัก อพาร์ตเมนต์ โรงแรม ร้านอาหาร โรงเรียน หรือสำนักงานที่มีลูกค้าเข้ามาติดต่อเป็นประจำ การแยก Guest VLAN ยิ่งสำคัญ เพราะจำนวนอุปกรณ์ที่เข้ามาเชื่อมต่อมีมากขึ้น ความเสี่ยงก็เพิ่มขึ้นตามไปด้วย

บทความนี้ผมจะอธิบายวิธี Config แยก Guest VLAN ออกจากระบบ Network หลักด้วย Reyee Gateway, Reyee Managed Switch และ Reyee Access Point โดยให้ Guest ใช้งาน Internet ได้ตามปกติ แต่ไม่สามารถเข้าถึงระบบภายในขององค์กรได้

VLAN ทำงานอย่างไร แบบเข้าใจง่ายๆ

VLAN หรือ Virtual LAN คือการแบ่งวง Network ออกเป็นหลายกลุ่ม แม้ว่าอุปกรณ์ทั้งหมดจะเสียบอยู่บน Switch ตัวเดียวกัน หรือใช้งานระบบ Network ชุดเดียวกันก็ตาม

ลองนึกภาพ อาคารสำนักงานหนึ่งหลัง ภายในอาคารมีหลายพื้นที่ เช่น แผนกบัญชี แผนกขาย ห้อง Server ห้องกล้องวงจรปิด และ พื้นที่รับรองลูกค้า ทุกคนอยู่ในอาคารเดียวกัน ใช้ระบบไฟฟ้า ใช้ทางเดิน และใช้อินเทอร์เน็ตร่วมกัน แต่แต่ละพื้นที่มีสิทธิ์การเข้าถึงที่ต่างกัน ลูกค้าที่มาติดต่อควรนั่งในพื้นที่รับรอง ไม่ควรเดินเข้าไปในห้องบัญชีหรือห้อง Server ได้เอง

VLAN ก็ทำงานในลักษณะเดียวกัน เราสามารถแบ่ง Network ออกเป็นกลุ่ม เช่น VLAN สำหรับพนักงาน, VLAN สำหรับ Guest, VLAN สำหรับกล้องวงจรปิด และ VLAN สำหรับอุปกรณ์ Network โดยแต่ละ VLAN จะมี IP Address คนละวงกัน

ตัวอย่างเช่น พนักงานอยู่ใน VLAN 10 ได้ IP Address กลุ่ม 10.0.10.x ส่วน Guest อยู่ใน VLAN 20 ได้ IP Address กลุ่ม 10.0.20.x ถึงแม้จะใช้ Internet เส้นเดียวกัน ใช้ Switch ชุดเดียวกัน หรือใช้ Access Point ตัวเดียวกัน ระบบก็ยังสามารถแยกการใช้งานออกจากกันได้

ข้อดีของการทำ VLAN ผู้ดูแลระบบสามารถกำหนดสิทธิ์ได้ชัดเจน เช่น Guest ใช้งาน Internet ได้อย่างเดียว, พนักงานเข้าถึง Printer หรือ NAS ได้, กล้องวงจรปิดคุยกับ NVR ได้ และ อุปกรณ์ Network อยู่ในวง Management สำหรับผู้ดูแลระบบเท่านั้น

อุปกรณ์ที่ใช้ในตัวอย่างการ Config

ตัวอย่างการ Config ในบทความนี้ ใช้อุปกรณ์ Reyee เป็นระบบหลัก ประกอบด้วย Reyee Gateway ทำหน้าที่เป็น Router, Reyee Managed Switch ทำหน้าที่กระจาย Network ไปยังอุปกรณ์ต่าง ๆ และ Reyee Access Point สำหรับปล่อยสัญญาณ Wi-Fi ให้ผู้ใช้งานเชื่อมต่อ โดยบริหารจัดการผ่าน Ruijie Cloud

Reyee Gateway เป็นอุปกรณ์หลักในการสร้างวง Network หรือ VLAN ต่าง ๆ เช่น VLAN สำหรับพนักงาน, VLAN สำหรับ Guest Wi-Fi หรือ VLAN สำหรับอุปกรณ์ Network พร้อมกำหนด IP Address, DHCP Server และ ACL เพื่อควบคุมการเข้าถึงระหว่าง VLAN

Router แบบใช้งานตามบ้านทั่วไป Home-Use มักตั้งค่า VLAN ได้จำกัด หรืออาจไม่มีเมนูสำหรับจัดการ VLAN แบบจริงจัง จึงไม่เหมาะกับระบบที่ต้องการแยกวง Network ออกจากกัน

Reyee Managed Switch ทำหน้าที่ส่งต่อข้อมูลของแต่ละ VLAN ไปยังอุปกรณ์ปลายทาง เพราะ Switch แบบ Managed สามารถอ่านและจัดการ VLAN Tag ใน Frame ข้อมูลได้ ส่วน Switch แบบ Unmanaged จะไม่สามารถแยก VLAN ได้ จึงไม่เหมาะกับระบบที่ต้องการแบ่ง Network หลายวงผ่านสาย LAN เส้นเดียวกัน

Reyee Access Point รองรับการทำ Multi-SSID VLAN Tagging หมายความว่า เราสามารถสร้าง Wi-Fi หลายชื่อบน Access Point ตัวเดียวกันได้ เช่น SSID สำหรับพนักงาน และ SSID สำหรับ Guest โดยกำหนดให้แต่ละ SSID อยู่คนละ VLAN ได้ทันที

ตัวอย่างเช่น

SSID ชื่อ Office-WiFi กำหนดให้อยู่ใน VLAN 10 สำหรับพนักงาน ส่วน SSID ชื่อ Guest-WiFi กำหนดให้อยู่ใน VLAN 20 สำหรับบุคคลภายนอก ผู้ใช้งานทั้งสองกลุ่มจะเชื่อมต่อผ่าน Access Point ตัวเดียวกัน แต่ระบบ Network ด้านหลังจะแยกออกจากกันตาม VLAN ที่กำหนดไว้

การออกแบบ VLAN สำหรับระบบตัวอย่าง

ในตัวอย่างนี้จะแบ่ง Network ออกเป็น 3 VLAN หลัก เพื่อแยกหน้าที่การใช้งานให้ชัดเจน ระหว่างอุปกรณ์ Network, เครื่องใช้งานภายในสำนักงาน และผู้ใช้งาน Guest ที่ต้องการเชื่อมต่อ Internet

VLAN 1: Management VLAN
VLAN นี้ใช้สำหรับบริหารจัดการอุปกรณ์ Network เช่น Reyee Gateway, Reyee Managed Switch และ Reyee Access Point เพื่อให้อุปกรณ์เหล่านี้สามารถสื่อสารกันได้ และผู้ดูแลระบบสามารถ Login เข้าไป Config หรือตรวจสอบสถานะของอุปกรณ์ได้

กำหนดให้ VLAN 1 ใช้ IP Address เป็น 192.168.110.1/24 โดย /24 หมายถึง Subnet Mask 255.255.255.0 สามารถมี IP Address สำหรับใช้งานในวงนี้ได้ตั้งแต่ 192.168.110.1 ถึง 192.168.110.254

VLAN 10: Office Network
VLAN นี้ใช้สำหรับวง Network หลักของสำนักงาน เช่น เครื่องคอมพิวเตอร์ของพนักงาน Notebook Printer NAS หรืออุปกรณ์ภายในที่ต้องใช้งานร่วมกัน

กำหนดให้ VLAN 10 ใช้ IP Address เป็น 10.0.10.1/24 เครื่อง Client ที่อยู่ในวงนี้จะได้รับ IP เป็นกลุ่ม 10.0.10.x

VLAN 20: Guest Network
VLAN นี้ใช้สำหรับ Guest Wi-Fi หรือผู้ใช้งานภายนอก เช่น ลูกค้า ผู้มาติดต่อ หรือบุคคลทั่วไปที่ต้องการเชื่อมต่อ Wi-Fi เพื่อใช้งาน Internetกำหนดให้ VLAN 20 ใช้ IP Address เป็น 10.0.20.1/24 เครื่อง Client ที่เชื่อมต่อ Guest Wi-Fi จะได้รับ IP เป็นกลุ่ม 10.0.20.x

หลักการออกแบบ ผู้ใช้งาน Guest สามารถออก Internet ได้ตามปกติ แต่จะไม่สามารถเชื่อมต่อเข้ามายังวง Network หลักของสำนักงานได้ เช่น ไม่สามารถเข้าถึงเครื่องคอมพิวเตอร์พนักงาน Server NAS Printer หรืออุปกรณ์สำคัญภายในระบบ

เพื่อให้การแยกวง Network มีความปลอดภัยมากขึ้น จะเพิ่มการ Block ด้วย ACL หรือ Access Control List โดยกำหนด Policy ไม่ให้ VLAN 20 ซึ่งเป็น Guest Network เชื่อมต่อมายัง VLAN 10 ซึ่งเป็น Office Network และไม่ให้เข้าถึง VLAN 1 ซึ่งเป็น Management VLAN

ขั้นตอนการ Config แยก Guest VLAN ด้วย Reyee

ก่อนเริ่ม Config ให้นำอุปกรณ์ Reyee Router, Reyee Managed Switch และ Reyee Access Point ขึ้น Ruijie Cloud ให้เรียบร้อยก่อน เพื่อให้สามารถบริหารจัดการอุปกรณ์ทั้งหมดจากหน้า Cloud ได้สะดวก

Config VLAN บน Reyee Gateway

เริ่มจาก Reyee Gateway ซึ่งเป็นอุปกรณ์หลักในการสร้าง Interface VLAN และแจก IP Address ให้กับ Client ผ่าน DHCP Server

Menu: Device > Configuration > VLAN

กำหนดค่า VLAN ตามนี้

• VLAN 1 ใช้เป็น Management VLAN โดยใช้ค่า Default IP เป็น 192.168.110.1/24
• VLAN 10 ใช้สำหรับ Office Network
  IP Address: 10.0.10.1/24
  DHCP Range: 10.0.10.20 - 10.0.10.254
  Lease Time: 2 Days
• VLAN 20 ใช้สำหรับ Guest Network
  IP Address: 10.0.20.1/24
  DHCP Range: 10.0.20.20 - 10.0.20.254
  Lease Time: 8 Hrs.

สำหรับ Lease Time ของ Guest ผมตั้งไว้สั้นกว่า Office เพราะ Guest มักเป็นผู้ใช้งานชั่วคราว เช่น ลูกค้าหรือผู้มาติดต่อ เมื่อไม่ได้ใช้งานนาน ๆ ระบบจะคืน IP กลับมาให้ DHCP Pool เร็วขึ้น

กำหนด Port VLAN บน Reyee Gateway

หลังจากสร้าง VLAN แล้ว ให้กำหนดพอร์ตที่เชื่อมต่อจาก Reyee Gateway ไปยัง Reyee Managed Switch เป็น Trunk เพื่อให้ VLAN หลายวงสามารถวิ่งผ่านสาย LAN เส้นเดียวกันได้

Menu: Configuration > Interface > Click เลือก Port ที่เชื่อมต่อเข้ากับ Managed Switch

• Interface Type: Trunk
• Native ID: Default VLAN หรือ VLAN 1
• Allowed VLAN: 10, 20, Default VLAN

Port แบบ Trunk เหมาะกับการเชื่อมต่อระหว่างอุปกรณ์ Network เช่น Gateway ไป Switch หรือ Switch ไป Access Point เพราะ Link แบบนี้ต้องส่งข้อมูลมากกว่าหนึ่ง VLAN ผ่านสายเส้นเดียว

สร้าง VLAN บน Reyee Managed Switch

สร้าง VLAN บน Reyee Managed Switch เพื่อให้ Switch รู้จัก VLAN 10 และ VLAN 20 และสามารถส่งต่อข้อมูลของแต่ละ VLAN ได้ถูกต้อง

Menu: Device > Configuration > VLAN

ให้ Add VLAN เพิ่มดังนี้

• VLAN 10
• VLAN 20

กำหนด Port VLAN บน Reyee Managed Switch

หลังจากสร้าง VLAN แล้ว ให้กำหนดค่าพอร์ต Uplink ที่เชื่อมต่อกับ Reyee Gateway เป็น Trunk

Menu: Configuration > Interface

Click เลือก Port ที่เชื่อมต่อเข้ากับ Reyee Gateway โดยทั่วไป Port Uplink จะมีสัญลักษณ์ลูกศรชี้ขึ้น

• Port Type: Trunk
• Native ID: VLAN 1
• Allowed VLAN: 1-4094 หรือระบุเฉพาะ 1,10,20 ก็ได้

ในงานใช้งานจริง ถ้าต้องการควบคุมให้รัดกุม แนะนำให้ระบุเฉพาะ VLAN ที่ใช้งาน เช่น 1,10,20 เพื่อไม่ให้ VLAN อื่นที่ไม่ได้ใช้วิ่งผ่านพอร์ตนี้โดยไม่จำเป็น

จากนั้นกำหนดค่าพอร์ตที่เชื่อมต่อไปยัง Reyee Access Point เป็น Trunk เช่นกัน

• Port Type: Trunk
• Native ID: VLAN 1
• Allowed VLAN: 1-4094 หรือระบุเฉพาะ 1,10,20 ก็ได้

เหตุผลที่ Port ไปยัง Access Point ต้องเป็น Trunk เพราะ Access Point จะปล่อย Wi-Fi มากกว่าหนึ่ง SSID และแต่ละ SSID อาจอยู่คนละ VLAN เช่น Office Wi-Fi อยู่ VLAN 10 และ Guest Wi-Fi อยู่ VLAN 20

สร้าง SSID และ Map VLAN บน Reyee Access Point

ขั้นตอนต่อไป สร้าง SSID บน Reyee Access Point และกำหนดให้แต่ละ SSID วิ่งเข้า VLAN ที่ต้องการ

Menu: Device Config > Wireless > WIFI > Click Add Wi-Fi

Wi-Fi สำหรับ Office

• Name: ชื่อสัญญาณ Wi-Fi สำหรับพนักงาน
• Password: รหัสผ่าน
• VLAN: Specified VLAN
• VLAN ID: 10

Wi-Fi สำหรับ Guest

• Name: ชื่อสัญญาณ Wi-Fi สำหรับ Guest
• Password: รหัสผ่าน
• VLAN: Specified VLAN
• VLAN ID: 20

ผู้ใช้งานที่เชื่อมต่อคนละ SSID ถึงจะใช้ Access Point ตัวเดียวกัน แต่ระบบด้านหลังจะแยกวง Network ออกตาม VLAN

ทดสอบ Multi-SSID VLAN Tagging

หลังจากสร้าง SSID ให้ลองทดสอบเชื่อมต่อ Wi-Fi ทั้ง 2 ชุด

• เชื่อมต่อ Wi-Fi Office ได้ IP Address ในวง VLAN 10 เช่น 10.0.10.xx
• เชื่อมต่อ Wi-Fi Guest ได้ IP Address ในวง VLAN 20 เช่น 10.0.20.xx

ถ้าเชื่อมต่อ Wi-Fi Office แล้วได้ IP 10.0.10.x แล ะเชื่อมต่อ Wi-Fi Guest แล้วได้ IP 10.0.20.x แปลว่าการทำ Multi-SSID VLAN Tagging ทำงานถูกต้อง

สร้าง ACL เพื่อ Block Guest ไม่ให้เข้าถึง Office และ Management

เมื่อแยก VLAN เรียบร้อย ขั้นตอนสำคัญคือสร้าง ACL เพื่อไม่ให้เครื่องจาก Guest Network เชื่อมต่อมายังวง Office หรือวง Management ได้

Menu: Device Config > General > ACL

ACL สำหรับ Block Guest ไปยัง Office Network

สร้างกฎสำหรับ Block ไม่ให้ Guest Network เชื่อมต่อไปยัง Office Network

• ACL Name: Block Guest - Office
• Rule Type: Deny
• Protocol Type: All
• Source IP Address: 10.0.20.0
• Source Subnet Mask: 255.255.255.0
• Destination IP Address: 10.0.10.0
• Destination Subnet Mask: 255.255.255.0
• Time Period: All Time

ACL สำหรับ Block Guest ไปยัง Management Network

แนะนำให้สร้าง ACL เพิ่มอีก 1 กฎ เพื่อ Block Guest Network ไม่ให้เข้าถึงวง Management Network เพราะ VLAN นี้ใช้บริหารจัดการ Gateway, Switch และ Access Point

• ACL Name: Block Guest - Management
• Rule Type: Deny
• Protocol Type: All
• Source IP Address: 10.0.20.0
• Source Subnet Mask: 255.255.255.0
• Destination IP Address: 192.168.110.0
• Destination Subnet Mask: 255.255.255.0
• Time Period: All Time

ทดสอบการทำงานของ ACL

หลังจากตั้งค่า ACL ให้เชื่อมต่อเครื่อง Client เข้ากับ Wi-Fi Guest จากนั้นทดสอบ Ping ไปยังวง Office และวง Management

ตัวอย่างการทดสอบ

• Client ที่เชื่อมต่อ Guest Wi-Fi ได้ IP เช่น 10.0.20.20
• ทดสอบ Ping ไปยังเครื่องใน Office Network เช่น 10.0.10.21
• ทดสอบ Ping ไปยังอุปกรณ์ใน Management Network เช่น 192.168.110.2
• ทดสอบเข้า Internet หรือ Ping ไปยัง 8.8.8.8

ผลลัพธ์

• Ping ไปยัง 10.0.10.x ไม่ได้
• Ping ไปยัง 192.168.110.x ไม่ได้
• ออก Internet ควรใช้งานได้ตามปกติ

การแยก Guest VLAN และการ Block การเข้าถึงระหว่างวง Network ทำงานได้ถูกต้อง

ข้อสังเกตเวลาทดสอบ ACL

เวลาทดสอบ ACL ด้วยคำสั่ง Ping ผลลัพธ์ที่แสดงบนเครื่อง Client อาจไม่เหมือนกันทุกครั้ง บางเครื่องอาจขึ้น Request timed out, Destination Host Unreachable หรือ Destination Port Unreachable ขึ้นอยู่กับอุปกรณ์ Gateway และระบบปฏิบัติการที่ใช้ทดสอบ

ถ้าทดสอบจาก Guest VLAN แล้ว Ping ไปยัง Office Network ไม่ผ่าน แต่ยังออก Internet ได้ตามปกติ ให้ถือว่า ACL ทำงานถูกต้องตามที่ต้องการ

อีกกรณีที่ควรระวังคือ การ Ping ไปยัง IP Gateway ของตัว Reyee Gateway เอง เช่น 192.168.110.1 อาจยังตอบกลับได้ในบางรุ่น เพราะเป็นการติดต่อกับตัว Gateway โดยตรง ถ้าต้องการปิดการเข้าถึงหน้า Web Config หรือการจัดการตัว Gateway จาก Guest Network ควรตรวจสอบเมนูเกี่ยวกับ Management Access หรือ Local Management เพิ่มเติม

ตรวจสอบเมื่อ Guest ยัง Ping ไป Office ได้

ถ้าตั้ง ACL แล้วเครื่องจาก Guest VLAN ยัง Ping ไปยัง Office Network ได้ ให้ตรวจสอบตามลำดับนี้

• เครื่อง Guest ได้ IP Address อยู่ในวง VLAN 20 จริงหรือไม่ เช่น 10.0.20.x
• เครื่อง Office ได้ IP Address อยู่ในวง VLAN 10 จริงหรือไม่ เช่น 10.0.10.x
• Subnet Mask ของทั้งสองฝั่งเป็น 255.255.255.0 หรือไม่
• SSID Office Map กับ VLAN 10 ถูกต้องหรือไม่
• SSID Guest Map กับ VLAN 20 ถูกต้องหรือไม่
• พอร์ตจาก Gateway ไป Switch เป็น Trunk และ Allow VLAN 1,10,20 หรือไม่
• พอร์ตจาก Switch ไป Access Point เป็น Trunk และ Allow VLAN 1,10,20 หรือไม่
• ACL เลือก Session State ครบทุกสถานะหรือไม่
• Rule ACL ถูก Enable และ Save เรียบร้อยหรือไม่

จุดที่พบบ่อยคือ VLAN บน SSID ไม่ตรง, Port Trunk Allow VLAN ไม่ครบ หรือ ACL เลือก Session State ไม่ครบ ทำให้ Traffic บางส่วนยังผ่านได้

สรุป

การแยก Guest Wi-Fi ออกจาก Office Network ด้วย VLAN เป็นวิธีพื้นฐานที่ช่วยให้ระบบ Network ปลอดภัยและเป็นระเบียบมากขึ้น โดยเฉพาะระบบที่มีบุคคลภายนอกเข้ามาใช้งาน Wi-Fi เป็นประจำ เช่น สำนักงาน ร้านค้า โรงเรียน โรงแรม หอพัก หรืออพาร์ตเมนต์

ในตัวอย่างนี้ Reyee Gateway ทำหน้าที่สร้าง VLAN แจก IP Address และกำหนด ACL, Reyee Managed Switch ทำหน้าที่ส่งต่อ VLAN ไปยังอุปกรณ์ต่าง ๆ และ Reyee Access Point ทำหน้าที่แยก SSID เข้ากับ VLAN ที่กำหนดไว้

เมื่อ Config ถูกต้อง ผู้ใช้งาน Guest จะสามารถใช้งาน Internet ได้ตามปกติ แต่จะไม่สามารถเข้าถึง Office Network, Server, NAS, Printer หรืออุปกรณ์ Management ภายในระบบได้ ช่วยลดความเสี่ยงจากไวรัส Malware การ Scan Network และการเข้าถึงระบบภายในโดยไม่ได้รับอนุญาต

สำหรับระบบ Network ที่มีผู้ใช้งานหลายกลุ่ม การแยก VLAN และกำหนด ACL ให้เหมาะสมเป็นเรื่องที่ควรทำตั้งแต่เริ่มออกแบบระบบ เพราะช่วยให้ดูแลระบบง่ายขึ้น แก้ปัญหาได้เร็วขึ้น และลดความเสี่ยงในระยะยาว