แยก WiFi Subnet ระหว่างพนักงาน และลูกค้า ด้วย Access Point TP-Link รุ่น EAP120

โจทย์มีอยุ่ว่า ปัจจุบัน AccessPoint ต่อไปขอเรียก AP มีความสามารถมากขึ้นเรื่อยๆ ที่เห็นกันชัดๆ AP ตัวเดียวแบ่งแยก SSID ได้มากมายแล้วแต่รุ่น ยี่ห้อ ความต้องการลูกค้าคือ ต้อง AP ที่ติดตั้งทั่วสำนักงาน ให้แสดง SSID เดียวกันทั้งหมด โดยแต่ละตัวจะมี 2 SSID คือ สำหรับลูกค้าและพนักงาน โดยที่ SSID ของลูกค้าและพนักงานจะต้องแยก Subnet กันด้วย แล้วก็แยกเน็ตกันด้วย

อุปกรณ์ที่ใช้มีดังนี้
AccessPoint : TP-Link EAP120
Switch : Cisco SF300
สำหรับตัวอุปกรณ์บางท่านจัดได้ดีกว่านี้ อาจมีรุ่นที่ติดตั้งง่ายกว่านี้ครับ แต่ที่ผมต้องจัดแบบนี้เพราะเกิดความผิดพลาดนิดหน่อย ฮ่าๆๆๆๆ ไม่เป็นไรแก้ปัญหากันไปครับ

 

แผนผังเครือข่ายคร่าวๆ จะเป็นประมาณนี้นะครับ

เริ่มตั้งค่ากันเลยครับ อันดับแรกตั้ง ค่า Access Point ด้วย EAP Controller สำหรับ EAP Controller เดี๋ยวมาอธิบายการใช้งานให้วันหลังนะครับ หาอ่านตาม google ไปก่อนนะครับ ขอเขียนอันนี้ก่อนเดี๋ยวลืม

 

มี AP ทั้งหมด 5 ตัวซึ่งแต่ละตัวจะมี 2 SSID โดยมี VLAN แตกต่างกัน

SSID : EMP

VLAN : 100

SSID : GUEST

VLAN : 200

ในตัวอย่างไม่ได้ตั้ง Security ในการใช้งานจริงต้องตั้งค่าด้วย เลือกใช้ที่สะดวก

 

เนื่องจากตัว AccessPoint TP-Link EAP120 นั้นไม่มี DHCP Server ในตัวการจะแยก Subnet ได้นั้นจำเป็นต้องอาศัยอุปกรณ์ที่สามารถแจก IP คนละ Subnet ได้ เช่น Mikrotik RouterOS หรือ Router ที่สามารถทำ 2WAN ได้ สำหรับการทดลองของผมจะใช้ Router บ้านธรรมดา 2 ตัว ต่อเข้ากับ Switch Cisco SF300-24PP และใช้เจ้า Cisco เป็นตัวจัดการ VLAN แทน โดยตั้งค่าดังนี้

Port 1-5 ต่อกับ AccessPoint

Uplink GE1 ต่อกับ Router1 (192.168.100.1/24)

Uplink GE2 ต่อกับ Router2 (192.168.200.1/24)

ตั้งค่า VLAN ที่ Cisco ดังนี้

VLAN Management

VLAN Settingsสร้าง VLAN ตามภาพ VLAN ID และ VLAN Name ตั้งเองได้ตามสะดวก

 

จะมี VLAN ทั้งหมด 3 อัน ดังภาพ

 

Interface Settingsเปลี่ยน Interface VLAN Mode ของพอร์ตที่ต่อกับ Router ทั้ง 2 พอร์ตให้เป็น Access ตามภาพ

 

Port to VLANเลือก VLAN ที่สร้างขึ้นมาแล้วทำการ Tagged พอร์ตที่ Access Point ต่ออยู่ทั้งหมด และ Untagged พอร์ตที่ต่อเข้ากับ Router ของ VLAN นั้น

 

ทำแบบเดียวกันนี้กับ VLAN อื่นๆ ที่ต้องการ

ต่อ ไปเนื่องจาก AccessPoint เราสามารถกำหนด IP Address ได้แค่ชุดเดียว ดังนั้นจำเป็นจะต้องให้ Swicth ทำหน้าที่กำหนดเส้นทางให้แต่ละ VLAN ไปรับ DHCP Server อย่างถูกต้อง โดยใช้ DHCP Relay ไปตั้งค่าที่นี่

IP Configuration

DHCP Snooping/Relay

Properties
DHCP Relay = Enable
Add IP Address ของ DHCP Server ในที่นี้คือ Router ทั้งสองตัว

 

Interface Settingsเพิ่ม รายการ VLAN เข้าไป และตั้งค่า DHCP Relay = Enable , DHCP Snooping = Enable

 

 

DHCP Snooping Trusted Interfacesตั้งค่า Trusted Interface ของพอร์ตที่ให้ AccessPoint ผ่าน

 

 

เสร็จเรียบร้อย เพียงเท่านี้เราก็สามารถแยก Subnet ของ SSID ที่ต่างกันได้แล้ว

เจ้า TP-Link ตัวนี้ยังมีความสามารถอีกมากนะครับ เดี๋ยวจะมาเขียนต่อว่าเวลาสรุปงานแล้วจะเอามันไปใช้ในลักษณะใดบ้างครับ