LAB-MikroTik+Cisco Switch ตัวอย่างการสร้างวีแลนและการใช้งาน

สวัสดีครับ ห่างหายไปนานกับการเขียนบทความ และตัวอย่างเล็กๆ สำหรับสายงานเน็ตเวิร์ค

วันนี้ผมขอนำเสนอพื้นฐานการใช้งาน VLAN บนอุปกรณ์ MikroTik และตัว OS ที่ผมใช้ก็จะเป็น RouterOS นะครับ ในแล็บนี้ผมจำลองบน GNS3 ใครอยากลองทำตามก็ลองๆ หาโหลดมานะครับ คลิกโหลดไฟล์ GNS3

ในแล็บนี้ส่วนหนึ่งเป็นโจทย์การทำงานจริงๆ ที่เราสามารถนำไปใช้งาน ได้ แต่ก็มีบางส่วนที่ผมไม่ได้ลงรายละเอียดไว้ เดี๋ยวผมจะมาบอกว่า ส่วนไหนที่ผมไม่ได้ลงรายละเอียดไว้

มาเริ่มกันเลย ตัวอย่างนี้เป็น เน็ตเวิร์คบริษัทชื่อ “บริษัท ตัวอย่าง จำกัด”

บริษัทนี้ มีเน็ตเวิร์คทั้งหมด 5 วงเน็ตเวิร์ค ด้วยกัน โดยเราจะทำการแบ่งแยกเป็นวีแลน เพื่อเป็นการแบ่งบรอดแคสในระบบ และที่สำคัญเลย คือต้องการทำเรื่องนโยบายการใช้งานร่วมกัน ป้องกันการเข้าถึงต่างๆ ด้วย

เน็ตเวิร์คทั้ง 5 วงจะประกอบไปด้วย

1. วงเน็ตเวิร์คของอุปกรณ์ Server ต่างๆ (DMZ) ซึ่งเราจะกำหนดวีแลน (Vlan) หมายเลข 100 และกำหนดไอพีเป็น 10.100.100.0/24

2. วงเน็ตเวิร์คของบัญชีและการเงิน ซึ่งเราจะกำหนดวีแลน (Vlan) หมายเลข 200 และกำหนดไอพีเป็น 172.17.200.0/24

3. วงเน็ตเวิร์คของแผนกบริการลูกค้า ซึ่งเราจะกำหนดวีแลน (Vlan) หมายเลข 201 และกำหนดไอพีเป็น 172.17.201.0/24

4. วงเน็ตเวิร์คของแผนกการตลาดและขาย ซึ่งเราจะกำหนดวีแลน (Vlan) หมายเลข 202 และกำหนดไอพีเป็น 172.17.202.0/24

5. เน็ตเวิร์คสำหรับบริการลูกค้า (Guest) ซึ่งเราจะกำหนดวีแลน (Vlan) หมายเลข 203 และกำหนดไอพีเป็น 172.17.203.0/24

สวนเงื่อนไขการใช้งาน ที่เราต้องทำเพิ่มเติม นั่นก็คือ เราไม่ต้องการให้วีแลนลูกค้า (Guest) เข้าใช้งานเน็ตเวิร์ควงอื่นๆภายในได้ อนุญาตให้ใช้งานเฉพาะอินเตอร์เน็ตเท่าไหร่ เพื่อความปลอดภัย

อุปกรณ์ที่ใช้ในบริษัทนี้หลักๆ จะมี อินเตอร์เน็ตเกตเวย์ ซึ่งใช้ไมโครติก จำนวน 1 ตัว และ คอร์สวิต จำนวน 1 ตัว และมีเอ็คเซสสวิตอีก 2 ตัว เอาไว้ตามชั้นต่างๆ ของตึก(ประมาณนั้น)

มาเริ่มคอนฟิกอุปกรณ์ตัวแรกกันเลยมันคือ อินเตอร์เน็ตเกตเวย์ (MikroTik) คอนฟิกประมาณนี้

เริ่มต้นคือ

1. ทำการเชื่อมต่ออินเตอร์เน็ตก่อนเลย

โดยผมกำหนดให้พอร์ต ether1 ทำการเชื่อมต่อโลกภายนอก (WAN)

โดยอินเตอร์เน็ตที่ผมทำการเชื่อมต่อเชื่อมต่อแบบ dhcp-client สคริปการเชื่อมต่อดังนี้ครับ

คำสั่งเชื่อมต่อ dhcp-client ดังนี้ (อินเตอร์เน็ต)

/ip dhcp-client
add comment=”connect to ISP” dhcp-options=hostname,clientid disabled=no interface=ether1

ต่อมา ผมทำการสร้าง VLAN ก่อนเลย ซึ่งพอร์ตหลักที่ผมจะใช้งานคือพอร์ต ether5 ซึ่งเรียกง่ายๆ ว่าทำหน้าที่เป็นทรังค์ Trunk พอร์ต ทำหน้าที่นำพาเน็ตเวิร์คหลายๆ วงที่เรากำหนดไว้ไปยังอุปกรณ์ตัวอื่นๆ ที่ต่อผ่านจากตัวมัน นั่นเอง (ท่อน้ำหลัก)

2. คำสั่งในการสร้างวีแลน ดังนี้ครับ

/interface vlan
add interface=ether5 name=v100 vlan-id=100
add interface=ether5 name=v200 vlan-id=200
add interface=ether5 name=v201 vlan-id=201
add interface=ether5 name=v202 vlan-id=202
add interface=ether5 name=v203 vlan-id=203

3. ทำการกำหนดไอพีให้กับวีแลนที่เรากำหนดไว้ (แบ่งวงเน็ตเวิร์ค)

คำสั่งกำหนดไอพี ใช้คำสั่งต่อไปนี้

/ip address
add address=10.100.100.1/24 comment=DMZ interface=v100 network=10.100.100.0
add address=172.17.200.1/24 comment=”Account & Sale” interface=v200 network=172.17.200.0
add address=172.17.201.1/24 comment=Services interface=v201 network=172.17.201.0
add address=172.17.202.1/24 comment=”Sale & Marketing” interface=v202 network=172.17.202.0
add address=172.17.203.1/24 comment=”Guest Access” interface=v203 network=172.17.203.0

5. ต่อมา ทำการกำหนด dhcp-server เพื่อแจกจ่ายไอพีให้กับเครื่องลูกข่าย กัน

รันคำสั่งดังต่อไปนี้กันเลย

/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=v100 name=dhcp1
add address-pool=dhcp_pool1 disabled=no interface=v200 name=dhcp2
add address-pool=dhcp_pool2 disabled=no interface=v201 name=dhcp3
add address-pool=dhcp_pool3 disabled=no interface=v202 name=dhcp4
add address-pool=dhcp_pool4 disabled=no interface=v203 name=dhcp5

/ip dhcp-server network
add address=10.100.100.0/24 dns-server=8.8.8.8 gateway=10.100.100.1
add address=172.17.200.0/24 gateway=172.17.200.1
add address=172.17.201.0/24 gateway=172.17.201.1
add address=172.17.202.0/24 gateway=172.17.202.1
add address=172.17.203.0/24 gateway=172.17.203.1

6. ทำการอนุญาตให้เครื่องลูกข่าย (ภายในทั้งหมด) ออกสู่โลกภายนอกได้ โดยการทำ NAT

รันคำสั่ง ดังต่อไปนี้เลย

/ip firewall nat
add action=masquerade chain=srcnat comment=”Allow Internet” out-interface=ether1

7. กำหนด DNS เพื่อให้เร้าท์เตอร์สามารถออกสู่โลกภายนอกด้วยชื่อโดเมนได้ (ชื่อเว็บ)

และทำการอนุญาตให้เครื่องลูกข่าย รีโมทมาใช้งาน DNS ที่ตัวเร้าท์เตอร์ได้

รันคำสั่งดังต่อไปนี้เลย

/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4

8. ทำการ Block ไม่ให้ Guest วิ่งเข้าเน็ตเวิร์ควงอื่นๆ ของบริษัทได้

ทำการสร้าง Address List ก่อน เพื่อระบุวงเน็ตเวิร์คภายใน และ วงเน็ตเวิร์คของ Guest

รันคำสั่ง ดังต่อไปนี้

/ip firewall address-list
add address=172.17.200.0/24 list=internal-network
add address=172.17.201.0/24 list=internal-network
add address=172.17.202.0/24 list=internal-network
add address=10.100.100.0/24 list=internal-network
add address=172.17.203.0/24 list=guest-network

จากนั้นทำ Filter Firewall เพื่อกำหนดกฎว่า หากมาจาก Guest แล้วจะไปเน็ตเวิร์คภายใน ที่มีทั้งหมด เราไม่อนุญาต

รันคำสั่งดังต่อไปนี้

/ip firewall filter
add action=drop chain=forward comment=”Drop Guest Access” dst-address-list=internal-network protocol=icmp src-address-list=guest-network

เป็นอันจบ ในส่วนของ MikroTik ครับ ยาวมากๆ ฮ่าๆๆๆ

ต่อมา ผมจะทำตัวอย่าง บน Cisco สักหนึ่งตัวนะครับ ตัวอื่นๆ ก็ทำหลักการเดียวกัน (วีดีโอท้าย แสดงวิธีการทำทุกตัวให้แล้ว)

เริ่มจากการกำหนดชื่อของอุปกรณ์ก่อนเลย

CORE-SW#conf t
Enter configuration commands, one per line. End with CNTL/Z.
CORE-SW(config)#hostname CORE-SW
CORE-SW(config)#

ต่อไปก็สร้าง vlan แบน cisco switch กัน

CORE-SW(config)#vlan 100
CORE-SW(config-vlan)#name DMZ
CORE-SW(config-vlan)#exit

CORE-SW(config)#vlan 200
CORE-SW(config-vlan)#name ACT
CORE-SW(config-vlan)#exit

CORE-SW(config)#vlan 201
CORE-SW(config-vlan)#name Services
CORE-SW(config-vlan)#exit

CORE-SW(config)#vlan 202
CORE-SW(config-vlan)#name Marketing
CORE-SW(config-vlan)#exit

CORE-SW(config)#vlan 203
CORE-SW(config-vlan)#name Guest
CORE-SW(config-vlan)#exit

ต่อไปเรามาสร้าง Trunk พอร์ตกัน ซึ่งจากแล็บตัวอย่าง เราทำที่พอร์ต f1/0

ก็คำสั่งดังต่อไปนี้ครับ

CORE-SW(config)#interface fastEthernet 1/0
CORE-SW(config-if)#switchport mode trunk
CORE-SW(config-if)#switchport trunk encapsulation dot1q
CORE-SW(config-if)#switchport trunk allowed vlan all
CORE-SW(config-if)#exit

ต่อมา เราต้องการกำหนดแอ็กเซสพอร์ต ให้กับสวิต ตัวอย่าง ผมกำหนดพอร์ต f1/14 และ 15 ให้เป็นวีแลน 100 คืออยู่ในโซนของ DMZ เน็ตเวิร์คนั่นเอง (โซนของอุปกรณ์เซิร์ฟเวอร์)

รันคำสั่งตัวอย่างดังนี้เลยจร้า

CORE-SW(config)#interface fastEthernet 1/14
CORE-SW(config-if)#switchport mode access
CORE-SW(config-if)#switchport access vlan 100
CORE-SW(config-if)#exit
CORE-SW(config)#

CORE-SW(config)#interface fastEthernet 1/15
CORE-SW(config-if)#switchport mode access
CORE-SW(config-if)#switchport access vlan 100
CORE-SW(config-if)#exit
CORE-SW(config)#

จบในฝั่งของ Cisco Switch ตัวอย่างแล้วจร้า แค่นั้นแหละ ไม่มีอะไร

อ๋อ อย่าลืมใน Cisco รันคำสั่งบันทึกค่าด้วยนะครับ

CORE-SW#copy running-config startup-config
Destination filename [startup-config]?
Building configuration…
[OK]
CORE-SW#

ส่วนสวิตตัวอื่นๆ ก็ทำต่อได้เลย ดูตัวอย่างในวีดีโอนะครับ เริ่มยาวละ ฮ่าๆๆๆ

สุดท้ายคิดว่าน่าจะมีประโยชน์กับท่านที่สนใจ

อ๋อ ในวีดีโอ และแล็บนี้ ผมไม่ได้ทำ vlan management ไว้นะครับ ก็ให้ลองต่อยอดดูครับ การกำหนดค่าไอพีให้กับ Cisco Switch เพื่อบริหารจัดการให้ง่าย จะได้ไม่ต้องมาคอยเสียบสาย Console กัน และเป็นสิ่งที่ควรทำอย่างยิ่ง

ดูวีดีโอนี้นะครับ แค่นี้ สวัสดี

ผิดพลาดประการใด ขออภัยไว้ ณ ที่นี้ด้วยนำครับ

อำนวย ปิ่นทอง (โอติก เน็ตเวิร์ค จำกัด)

คลิปเพิ่มเติม ทำไม Guest 2 มันไม่ได้ไอพีหว่า สรุป Cisco เล่นเสียแล้ว ของจริงไม่เจอปัญหานะ เจอแต่จำลองนี่แหละ

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องที่ต้องการถูกทำเครื่องหมาย *