คู่มือ UniFi Network: ตั้งค่า VLAN และ Firewall เบื้องต้น

นี่คือคู่มือฉบับสมบูรณ์สำหรับการตั้งค่า VLAN และ Firewall บน UniFi Network Controller โดยเขียนในรูปแบบ HTML Fragment ตามที่คุณต้องการ

คู่มือ UniFi Network: ตั้งค่า VLAN และ Firewall เบื้องต้นสำหรับองค์กรยุคใหม่

ในยุคที่ความปลอดภัยทางไซเบอร์และความเสถียรของเครือข่ายมีความสำคัญสูงสุด การใช้ระบบ UniFi Network จาก Ubiquiti ถือเป็นทางเลือกอันดับต้นๆ สำหรับธุรกิจขนาดกลางถึงขนาดใหญ่ในไทย CYN Communication ในฐานะผู้นำด้านอุปกรณ์ IT/Network ขอแนะนำคู่มือการตั้งค่าขั้นสูงที่จะช่วยยกระดับโครงสร้างพื้นฐานเครือข่ายของคุณให้ปลอดภัยและจัดการได้ง่ายขึ้น

บทนำ: ทำไมคุณต้องมี VLAN และ Firewall Rule?

ก่อนจะเข้าสู่การตั้งค่า เราต้องเข้าใจเหตุผลว่าทำไมการแยกเครือข่ายจึงสำคัญ:

• ความปลอดภัย (Security): การแยกเครือข่าย Guests ออกจากเครือข่ายพนักงาน ป้องกันไม่ให้ผู้มาเยือนเข้าถึงไฟล์เซิร์ฟเวอร์หรืออุปกรณ์สำคัญขององค์กร
• การจัดการ Traffic (Traffic Management): แยกประเภทข้อมูล เช่น แยกเสียง (VoIP) ออกจากอินเทอร์เน็ตทั่วไป เพื่อให้การสนทนาชัดเจน ไม่กระตุก
• การควบคุมแบนด์วิธ (Bandwidth Control): กำหนดโควตาอินเทอร์เน็ตให้แต่ละแผนกหรืออุปกรณ์เฉพาะ

ขั้นตอนที่ 1: การเตรียมความพร้อม

ก่อนเริ่มทำงาน คุณต้องมี:

1. UniFi Network Controller ที่ติดตั้งและใช้งานได้แล้ว
2. UniFi Gateway (Router) และ UniFi Switch ที่รองรับ PoE
3. ความรู้พื้นฐานเรื่อง IP Address และ Subnet Mask

ขั้นตอนที่ 2: การสร้าง VLAN และ Network

ขั้นตอนแรกคือการสร้าง “Network Profile” หรือ VLAN ID ใหม่บน Controller

2.1 เข้าหน้า Settings

1. เข้าสู่หน้า Dashboard ของ UniFi Controller
2. คลิกที่เมนู Settings (รูปเฟือง) ทางด้านซ้ายมือ
3. เลือกเมนู Networks (หรือ Network Profiles ในเวอร์ชันเก่า)

2.2 สร้าง Network ใหม่

1. คลิกปุ่ม Add New Network
2. เลือกประเภท Network: LAN (สำหรับเครือข่ายภายใน)
3. ตั้งค่าตามรายละเอียดดังนี้:
   • Name: ตั้งชื่อให้เข้าใจง่าย เช่น “Staff”, “Guest”, “IoT”
   • Role: เลือกตามการใช้งาน เช่น “Staff” หรือ “Guest”
   • Interface: เลือก VLAN (เพื่อแยก Traffic)
   • VLAN ID: กำหนดหมายเลข VLAN เช่น 10 สำหรับ Staff, 20 สำหรับ Guest, 30 สำหรับ IoT
   • IP Range: กำหนดช่วง IP เช่น 192.168.10.1/24
   • DHCP: เลือก Enable เพื่อให้เครื่องแจกจ่าย IP อัตโนมัติ
4. คลิก Save

ขั้นตอนที่ 3: การกำหนดค่า Port บน Switch

การสร้าง VLAN บน Controller เพียงอย่างเดียวไม่พอ คุณต้องตั้งค่า Port บน Switch เพื่อให้รองรับ VLAN ที่สร้างไว้

1. ไปที่เมนู Devices แล้วเลือก Switch ของคุณ
2. คลิกที่ชื่อ Switch เพื่อเปิดหน้าต่างรายละเอียด
3. คลิกที่แท็บ Ports
4. เลือก Port ที่ต้องการตั้งค่า (เช่น Port ที่ต่อ Access Point หรือ Port ที่ต่อคอมพิวเตอร์)
5. ตั้งค่า Mode:
   • Access: สำหรับ Port ที่ต่ออุปกรณ์ทั่วไป (Client) ให้เลือก VLAN ที่ต้องการ เช่น VLAN 20 (Guest)
   • Trunk: สำหรับ Port ที่ต่อระหว่าง Switch หรือ Switch กับ Access Point เพื่อส่งข้อมูล VLAN หลายตัวพร้อมกัน
6. ตั้งค่า Allowed VLANs: หากเป็นโหมด Trunk ต้องระบุ VLAN ID ที่อนุญาตให้ผ่าน
7. คลิก Save

ขั้นตอนที่ 4: การตั้งค่า Firewall Rules (การควบคุมการเข้าถึง)

เมื่อ VLAN ถูกสร้างเสร็จ ขั้นตอนต่อไปคือการกำหนดกฎว่า VLAN ไหนสามารถคุยกับ VLAN ไหนได้บ้าง

1. ไปที่เมนู Settings > Security
2. เลือกหัวข้อ Firewall
3. คุณจะเห็นตาราง Firewall Rules ที่มีกฎพื้นฐานอยู่แล้ว

4.1 การสร้างกฎแบบ Inbound (รับข้อมูลเข้า)

ตัวอย่าง: ป้องกันไม่ให้ VLAN Guest เข้าถึง VLAN Staff

1. คลิก Add Rule
2. ตั้งค่าตามนี้:
   • Direction: Inbound
   • Source: เลือก Network “Guest” (VLAN 20)
   • Destination: เลือก Network “Staff” (VLAN 10)
   • Action: เลือก Drop (ปฏิเสธการเชื่อมต่อ)
   • Description: ใส่คำอธิบาย เช่น “Block Guest to Staff Access”
3. คลิก Save

4.2 การสร้างกฎแบบ Outbound (ส่งข้อมูลออก)

ตัวอย่าง: อนุญาตให้ VLAN IoT เข้าถึงอินเทอร์เน็ตได้ แต่ห้ามเข้า LAN ภายใน

1. คลิก Add Rule
2. ตั้งค่าตามนี้:
   • Direction: Outbound
   • Source: เลือก Network “IoT”
   • Destination: เลือก “WAN” หรือ “Internet”
   • Action: เลือก Accept
3. คลิก Save

ขั้นตอนที่ 5: Traffic Management และ Bandwidth Limit

การควบคุมความเร็วอินเทอร์เน็ตเพื่อไม่ให้ใครใช้อุปกรณ์หนึ่งใช้ bandwidth จนคนอื่นใช้งานไม่ได้

1. ไปที่เมนู Settings > Traffic
2. เลือกหัวข้อ Bandwidth Limits

5.1 กำหนด Limit แบบ Network-wide

1. คลิก Add Limit
2. ตั้งค่า:
   • Name: เช่น “Guest Limit”
   • Network: เลือก “Guest”
   • Download: กำหนดความเร็วสูงสุด เช่น 10 Mbps
   • Upload: กำหนดความเร็วสูงสุด เช่น 5 Mbps
3. คลิก Save

5.2 กำหนด Limit แบบ Device-specific

1. ไปที่เมนู Clients
2. คลิกเลือกอุปกรณ์ที่ต้องการจำกัด
3. คลิกที่ Settings (หรือ Edit)
4. ค้นหาหัวข้อ Bandwidth Limit
5. ใส่ค่า Download/Upload ที่ต้องการ

ขั้นตอนที่ 6: การทดสอบและการตรวจสอบ

หลังจากตั้งค่าเสร็จแล้ว ต้องทดสอบว่าทุกอย่างทำงานตามที่ตั้งใจ

1. ทดสอบการเชื่อมต่อ: เชื่อมต่อคอมพิวเตอร์เข้ากับ Port ที่ตั้งค่า VLAN ไว้ แล้วตรวจสอบว่าได้รับ IP Address ในวงที่ถูกต้องหรือไม่ (เช่น 192.168.20.x สำหรับ Guest)
2. ทดสอบ Firewall: ลอง Ping จากเครื่องใน VLAN Guest ไปยังเครื่องใน VLAN Staff หากตั้งค่าถูกต้อง คำสั่ง Ping จะล้มเหลว (Destination Host Unreachable)
3. ทดสอบ Bandwidth: ใช้ Speedtest บนอุปกรณ์ที่ถูกจำกัด แล้วตรวจสอบว่าความเร็วไม่เกินค่าที่ตั้งค่าไว้หรือไม่

สรุปและคำแนะนำเพิ่มเติม

การตั้งค่า VLAN และ Firewall บน UniFi Network Controller เป็นทักษะพื้นฐานที่ผู้ดูแลระบบเครือข่ายควรมี หากต้องการความปลอดภัยและความเสถียรสูงสุด การแบ่งแยกเครือข่ายอย่างชัดเจนจะช่วยลดความเสี่ยงจากการถูกโจมตีทางไซเบอร์ได้มาก

หากคุณต้องการอุปกรณ์ UniFi Network คุณภาพสูง พร้อมบริการติดตั้งและตั้งค่าระบบเครือข่ายแบบครบวงจร CYN Communication พร้อมให้บริการปรึกษาและวางแผนเครือข่ายที่เหมาะสมสำหรับองค์กรของคุณ

ติดต่อเรา:
เว็บไซต์: cyn.co.th
บริการ: จำหน่ายอุปกรณ์ IT/Network, ติดตั้งระบบ, ให้คำปรึกษา