คู่มือการตั้งค่า
Switch IP-COM มีความปลอดภัยมากขึ้น
พื้นฐานของความปลอดภัยในเลเยอร์ 2
ความปลอดภัยในเลเยอร์ 2 ที่ เป็นเลเยอร์ Data Link ใน OSI Model คือ หนึ่งในเจ็คเลเยอร์ที่ ออกแบบมาเพื่อทำงานร่วมกัน ถ้ามองในเรื่องความปลอดภัย แล้ว ก็ถือว่าไม่ค่อยดีเท่าไหร่ ถ้ามีการ โจมตีที่เลเยอร์หนึ่งจะไม่เป็นที่ รับทราบของเลเยอร์อื่น ที่เหลือเสมอ ไปหากมีการโจมตีเข้ามาที่เลเยอร์ 2 ก่อน ส่วนที่เหลือในเครือข่ายของคุณ ก็จะได้ผลกระทบในที่สุด เพราะฉะนั้น เครือข่ายคุณจะ แข็งแกร่งหรือไม่จึงขึ้นอยู่กับส่วน ที่ เป็นจุดอ่อนที่สุดก็คือที่เป็นเลเยอร์ Data Link
การโจมตีเลเยอร์ 2 นั้นอาจไม่ส่งผลถึงข้อมูลสูญหายหรือถูกขโมยข้อมูลใดๆ แต่ การเสียหายนั้นจะเป็นในรูปแบบของทำให้ระบบใช้งานไม่ได้ ระบบจะหน่วงๆ ช้าๆ ซึ่งตรง จุดนี้เองทำให้ผู้ดูแลระบบต้องแก้ไขอยู่เรื่อยๆ และบทความนี้จะเน้นไปที่การออกแบบเลเยอร์ 2 ในหอพัก อพาร์ทเมนต์ โรงแรม ที่ผู้ดูแลระบบนั้นต้องคำนึงถึง
หมายเหตุ : ตัวอย่างการตั้งค่านี้สามารถใช้ได้กับ IP-COM รุ่น G3210P,G3224P,G3224T
การทำ VLAN บน Switch IP-COM
VLAN หรือ Virtual LAN เป็นความสามารถของอุปกรณ์สวิตช์ที่สามารถกำหนด ขอบเขตของ Broadcast Domain บน Layer 2 หมายความว่า บน Switch 1 ตัว สามารถ แยก broadcast domain ได้หลายๆ วง หรือ แยก subnet ได้นั่นเอง
การออกแบบ VLAN ในกรณีนี้ต้องมี Gateway ทำ Trunk มาที่ IP-COM
จากตัวอย่างใช้ Gateway เป็น Mikrotik ซึ่งเป็น Gateway ยอดนิยมในการทำ Trunk ที่มี VLAN ID : 10 , 20 อยู่ใน Interface Bridge ที่เราสร้างใหม่
การทำ VLAN บน Switch IP-COM ให้ไปที่เมนู VLAN Management เลือกข้างล่าง VLAN Configuration ในส่วนของรูปแบบ VLAN Mode ให้เลือกเป็น 802.1Q VLAN
ในส่วนของ IP-COM นั้นให้เราไปที่เมื่อเราเลือก 802.1Q สร็จแล้ว ในแถบเมนูของ VLAN Configuration เลือกเมนูย่อยที่ Trunk Port และสร้าง Port ที่เราต้องการจะทำ Trunk ใน ตัวอย่างผมทำ Port 1 – 4 เป็น Trunk
เมื่อทำTrunk เสร็จเรียบร้อยก็ให้กลับมาที่แถบ 802.1QVLAN เพื่อสร้าง Port ไหนที่ ต้องการให้ใช้ VLAN ไหนดังรูปข้างบน เท่านี้ก็เป็นอันเสร็จเรียบร้อยของการทำ VLAN เพื่อช่วย ลด Broadcast ในระบบ Network ได้ทำให้มีความเสียรมากขึ้น
Port Isoration
การทำ VLAN อีกรูปแบบหนึ่งที่ง่าย หรือก็คือ Port Isolation ซึ่งจะเป็นคนละแบบกับ 802.1Q เพราะ Port Isolation ไม่สามารถคุยข้าม switch ได้ แต่ 802.1Q นั้นจะคุยกับ VLAN เดียวกันที่อยู่บน switch ตัวอื่นได้
Port Isoration เหมาะกับอะไร ?
Port Isoration เหมาะกับ Network วงเดียว หรือ Network ไม่ใหญ่มากแต่ต้องการ ความเสถียรและปลอดภัยซึ่งจะเหมาะกับ หอพัก อพาร์ทเมนท์ เพื่อป้องกัน Netcut หรือ ลดปัญหา การ Peer ของ Bittorent นั่นเองเพราะเมื่อเราเปิด Port Isoration แล้ว Client ที่ต่อ Port นั้น จะไม่สามารถ Ping เจออีก Client ที่ต่ออีก Port นึงได้แม้ว่าจะอยู่ใน Network วงเดียวกันก็ตาม
แล้วมันดียังไง ?
คือหลักการของ Netcut มันก็ต้อง Broadcast ให้เจอ Client คนอื่นๆก่อนถึงจะใช้งาน ได้สมบูรณ์ทีนี้เมื่อ Ping ไม่เจอก็ไม่สามารถใช้งาน Netcut ได้อย่างเต็มที่หรือใช้ไม่ได้เลย
การ Peer ของ Bittorent เป็นที่ทราบกันดีว่าการ Block BIT จาก Firewall หรือ Mikrotik เองก็ตามบางทีก็ไม่ได้ 100% แต่เราจะทำยังไงให้มันไม่กระทบกับ Network ของเรา นั่น ก็คือการที่เราบังคับให้ Client ไม่สามารถ Ping เจอคนอื่นได้หรือ Port Isoration นั่นเองเขาก็จะ Peer ได้แค่ตัวของเขาเองและกิน Bandwidth ที่ฝั่งของ Client เองไม่กระทบ Network รวม ถ้า เรากำหนดให้เขาใช้ Bandwidth ที่ 3 Mbps เขาก็ได้เพียง 3 Mbps เท่านั้น
แล้ว Switch IP-COM ทำ Port Isoration ยากมั้ย ?
ต้องบอกเลยว่าง่ายมากๆ รวมทั้ง IP-COM ยังมี Switch Unmanage ที่สามารถทำ Port Isoration ได้อีกด้วยซึ่งส่วนตัวผมยังไม่เคยเห็นแบรนด์ไหนทำได้เลยและง่ายมากๆเดี๋ยวมาดู กัน
การทำ Port Isoration บน Manage Switch IP-COM
ไปที่เมนู Port Management ดังรูปแล้วไปที่ปุ่ม Config
เลือก Port ที่เราต้องการทำ Isoration แล้วไปที่เมนู Isoration เลือกเป็น Enable แล้ว กด OK เพียงเท่านี้ Port ที่เราเลือกไว้ก็ไม่สามารถ Ping หากันเจอแม้จะอยู่ใน Network วง เดียวกันก็ตาม
การทำ Port Isoration บน Unmanage Switch IP-COM
ต้องบอกก่อนเลยว่า IP-COM เองมี Model ของ Unmanage Switch ที่มี Feature สามารถทำ Isoration ได้ รวมถึงยังจ่ายไฟ PoE AF,AT ได้ด้วย
Switch IP-COM รุ่น F1109P
- 9 Fast Ethernet ports
- Port VLAN by hardware switch button
- PoE budget: 120 Watt
- 4KV thunder proof
เพียงแค่เลื่อนเปิดฟังก์ชั่น Isoration Mode เท่านี้ก็สามาถทำให้ระบบ Network ของเรามีความปลอดภัยมากขึ้น
