Welcome to Sysnet Board คู่มือ การใช้งานอุปกรณ์ Network. Please log in or sign up.
สมาชิกทั้งหมด
17,595
กระทู้ทั้งหมด
10,026
หัวข้อทั้งหมด
4,711

  • การ Block ไม่ให้ Device ที่เชื่อมต่อทั้ง Lan และ Wireless เชื่อมต่อหากันเอง
    เริ่มโดย yod
    Read 39,161 times
0 สมาชิก และ 1 ผู้มาเยือน กำลังดูหัวข้อนี้
yod

 

 

การ Block ไม่ให้ Device ที่เชื่อมต่อทั้ง Lan และ Wireless เชื่อมต่อหากันเอง



ลูกค้าสอบถามเข้ามาครับ มี User อาศัย Access Point ที่เราติดตั้งไว้ เชื่อมต่อหากันเอง โดยจะโยนไฟล์หากัน บางทีตั้ง Server Game เล่นกันเลย ทำให้ Access Point ทำงานหนักมาก รวมถึงมี Traffic ปริมาณมากบนอุปกรณ์ AP ที่ติดตั้ง ทำให้เครื่องอื่นๆที่เชื่อมต่อเพื่อเข้าใช้งาน Internet อย่างเดียว ได้ Bandwidth ที่ช้ามาก


วิธีแก้ไขปัญหาเบื้องต้นนี้จะเป็นการทำ Client Isolate บนอุปกรณ์ Engenius Access Point ครับ




ผมทดสอบเชื่อมต่ออุปกรณ์ตามรูปข้างต้น โดยมี Access Point ตัวเดียวเป็นตัวกระจายสัญญาณ แล้วให้เครื่อง Computer A และ B เชื่อมต่อสัญญาณ Wireless อย่างเดียว ไม่มีการ Login เข้าระบบ Authenticate (คือเล่น Internet ไม่ได้ แต่เชื่อมต่อสัญญาณ Wireless ได้)

เครื่อง Computer B สามารถ Ping ไปยังเครื่อง Computer B ได้ รวมถึง Share File ได้ด้วยครับ




ลองแชร์ไฟล์ ได้ปกติเลย  ;D





วิธีนี้แก้ไขง่ายๆ ด้วยการทำ Client Isolate บนอุปกรณ์ Access Point

เข้าหน้า Config ของ Engenius Access Point ใน Menu Wireless แล้ว Click [Enable] ที่ Client Isolate (อุปกรณ์ Access Point ของ Engenius ทุกรุ่น รองรับ Mode Client Isolate)




ทดสอบ Ping หากันใหม่ จะ Ping ไม่ได้แล้ว




แต่..


ถ้ามีการต่อ Access Point หลายๆตัว เข้า Switch ตามรูป



แล้วเครื่อง A เชื่อมต่อ Wireless เข้า AP ตัวที่ 1 และ เครื่อง Computer B เชื่อมต่อเข้า AP ตัวที่ 2 การทำ Client Isolate บน AP จะไม่สามารถป้องกันการเชื่อมต่อหากันระหว่าง Computer A และ B ได้ครับ


การแก้ปัญหาในลักษณะแบบนี้ ต้องเลือกใช้ Switch ที่เป็นแบบ Manage L2 เพื่อทำ VLAN หรือทำ Port Isolate ไม่ให้เชื่อมต่อหากันระหว่าง Port


และวิธีนี้จะช่วยแก้ปัญหาในงานที่เราเดินสาย Lan ไปตามจุดต่างๆ แล้วมี User นำ Wireless Router มาต่อที่จุดนั้นๆครับ แล้วดันต่อเข้าที่ Port LAN  ของ Router ทำให้ Router แจก IP เข้าระบบเรา ทำให้ระบบเราใช้งานไม่ได้ โดยจะเรียก Router พวกนี้ว่า Rogue Router และการแจก IP เข้ามาในระบบโดยที่เราไม่ได้รับรู้ จะเรียกว่า Rogue DHCP ครับ


อธิบายเรื่อง Rogue Router นิดนึง


เดี๋ยวนี้ อพาร์ทเม้นตสร้างใหม่หลายๆที่ จะมีบล๊อค RJ45 เดินสาย Lan ไว้ตามห้องต่างๆไว้เลย ก็จะมี User นำ Wireless Router มาต่อ ถ้า User ต่อถูกต้อง ก็ไม่มีปัญหาอะไรกับระบบ การต่อจะเป็นตามรูปครับ คือ ขา Wan ต่อเข้ากับระบบ Authenticate ของเดิม แล้ว ขา Lan ก็แยกออกมาอีกวง Network ต่างหาก สมมุติเป็น IP: 192.168.2.1 ตัว Router จะแจก IP ให้เครื่องที่มาเชื่อมต่อด้วย (เปิด DHCP Server)




ทีนี้เวลาเชื่อมต่อ เครื่อง Computer A และ B จะได้ IP จาก Router และเมื่อเครื่อง Computer เครื่องใดเครื่องนึง Login เข้า Internet เครื่องที่เหลือจะเข้าใช้งาน Internet ได้เลย เพราะระบบ Authenticate จะเก็บค่า MAC Address ของ Router ไว้ (ค่า MAC Address จะไม่สามารถส่งข้าม Router ได้) แต่ความเร็วรวมทั้ง 2 เครื่อง จะได้เท่ากับความเร็วตาม Account ที่ Login เข้าไปครับ เช่น Acount ที่ Login กำหนดความเร็วไว้ 10Mbps เครื่อง A และ B ใช้พร้อมๆกัน รวมความเร็วทั้ง 2 เครื่อง จะได้ไม่เกิด 10Mbps


ปัญหาที่พบบ่อยๆคือ


User ดันต่อสาย Lan จากระบบของเรา เข้าขา Lan ของ Router ที่ใช้ อาจจะต่อผิด หรือ ต้องการนำ Wireless Router เครื่องเก่าๆที่มี ตั้งใจมาทำเป็น Switch เพื่อเพิ่มจำนวน Port หรือ มาทำเป็น Access Point เล็กๆกระจาย Wireless ภายในห้อง แล้วทำการปิด DHCP Server ไว้ (ดูตามรูปนะครับ)




อาจจะเพราะบังเอิญ User ดันไม่ได้ ปิด DHCP Server ในตัว Router หรือ มีปัญหาระบบไฟทำให้ Router คืนค่าเดิมจากโรงงาน (ค่า Default ของ Router จะเปิด DHCP Server ไว้ครับ) หรือ config ไม่เป็น คิดว่าจิ้มๆต่อๆไปเหอะ น่าจะใช้ได้เหมือนกัน ทำให้มีการแจก IP ย้อนกลับมาที่ระบบ ถ้าเครื่องที่ห้องอื่นๆ ดันได้ IP นี้ไป จะไม่สามารถออก Internet ได้ เพราะ Computer จะเห็น Router ที่เข้ามาเป็น Gateway เรียกลักษณะปัญหาแบบนี้ว่า Rogue DHCP


ทดสอบต่อ Router เข้า Switch เครื่องที่ทดสอบได้ IP จาก Router ทำให้ออก Internet ไม่ได้




ต้องแก้ปัญหาด้วยการเปลี่ยนจาก Switch ธรรมดามาเป็น Switch แบบ Managed ครับ ใช้ VLAN ในการจัดการแยกแต่ละ Port หรือใช้ Function Port Isolate แยกการเชื่อมต่อแต่ละ Port ออกจากกันไปเลย


เพราะไม่อย่างนั้น จะเล่นกันไม่ได้ทั้งหมด และไม่รู้ด้วยครับว่าเกิดจากห้องไหน เขาอาจจะเสียบทิ้งไว้ แล้วไปเที่ยวสงกรานต์ ได้นั่งงมกันละครับ  :-[ :-[


ตัวอย่าง

ผมจะใช้อุปกรณ์ Managed Switch Engenius EWS7928P ในการทำ Port Isolate ง่ายสุดแล้ว




ทำ Isolate Port G4, G6, G11, G12 และ G13 ส่วน G1 ต่อเข้ากับ Gateway

Login เข้า หน้า Switch Config --> Security --> Port Isolate

Click ที่ Port G4, G6, G11, G12 และ G13 เลือก Isolate แล้ว Click [Apply]




เมื่อทำ Port Isolate จะต้อง Ping ไปหาเครื่องอื่นๆ รวมถึง Rogue Router ไม่ได้ แต่ออก Internet ได้ครับ ส่วน User ที่ต่อ Router เข้ามาในระบบ เขาเล่นไม่ได้อยู่แล้ว ก็ต้องถอด Router ออก หรือไม่ถอด ก็ไม่มีปัญหาอะไรกับระบบเราครับ






ทีนี้ ในกรณีที่ต้องมีการต่อเข้ากับ Switch หลายๆตัว จำเป็นต้องเลือก Switch ที่มี Mode Port Isolate ทุกตัว


ข้อเสียคือต้องลงทุนเพิ่ม ข้อดีคือ ไม่ต้องเสียเวลามาแก้ปัญหากันบ่อยๆ บอกเลย...เหนื่อยครับ เป็นกลางวันไม่มีอะไรมาก เป็นกลางคืน ยิ่งง่วงยิ่งคิดอะไรไม่ออกครับ  ;D ;D ;D

การต่อ ในส่วน Core Switch ตั้ง Port Isolate ทุก Port เว้น port ที่ต่อกับ Internet ส่วน Switch ที่ต่อพ่วง ทำ Isolate ทุก Port เช่นกัน เว้น Port ที่เป็น UpLink ครับ






เรียบร้อยครับ หวังว่าบทความนี้น่าจะมีประโยชน์กันไม่มากก็น้อยนะครับ  ;D ;D