Network – Implementer Limited

MAC Authentication บน Cisco Switch ด้วย Windows Server 2019

จากครั้งก่อนที่ใช้ Switch HPE Aruba ทำ Mac Authen คราวนี้ลองทำกับ Switch Cisco บ้าง ปัญหาที่เจอคือหลายๆ วิธีจะมีคำสั้งที่ใช้งานไม่ได้ ตอนนี้ได้วิธีที่ใช้งานได้แบบเบสิคแล้วเลยแปะไว้เผื่อใครจะเอาไปใช้

ข้อดีอย่างหนึ่งของ Switch Cisco คือเรากำหนด Password ให้ user ได้ด้วย จะได้ไม่ต้องไปแก้ GPO Password

aaa new-model
aaa authentication dot1x default group radius

radius server dc0
address ipv4 192.168.7.10 auth-port 1812 acct-port 1813
timeout 10
retransmit 2
key radius

mab request format attribute 1 groupsize 12 separator : lowercase
mab request format attribute 2 Password1

interface FastEthernet0/10
switchport mode access
authentication port-control auto
mab

MAC Authentication และ Dynamic VLAN บน HPE Aruba Switch ด้วย Windows Server 2019

มีลูกค้าต้องการป้องกัน user เอา Hardware จากภายนอกมาใช้งาน จะทำ Mac Authentication บน Switch เลยลองใช้ Windows Server เป็น Radius เพื่อให้ลูกค้าจัดการได้ง่าย หลังจากลองกับ HPE Procurve Switch ก็ใช้งานได้ไม่มีปัญหาอะไร เลยลองทำ Dynamic VLAN ทำให้ VLAN ของแต่ละ Port จะเปลี่ยนไปตาม MAC Address ที่ของเครื่องที่ต่อเข้ามา

ขั้นตอน

เพิ่ม user โดยใช้ Mac Address เป็นทั้ง Username และ Password
สร้างกลุ่มขึ้นมาตาม VLAN แล้วเพิ่ม Mac Address เข้าไปให้ตรงกับ VLAN ที่ต้องการ
สร้าง Policy ใน NPS ทุก VLAN
เพิ่ม Mac Authentication ใน Switch

คำสั่งบน Switch HPE Aruba Procurve

aaa authentication port-access eap-radius
aaa accounting network start-stop radius
radius-server host 192.168.7.10 acct-port 1813 key "radius"
aaa authorization commands radius
aaa port-access authenticator active
aaa port-access mac-based 10

บน Windows มี Security Logs ว่า Login สำเร็จ

ความเร็ว WIFI ที่ใช้ได้จริงๆ

ทุกวันนี้ผมเห็นอุบกรณ์ Access Point หรือ Router WIFI บอกความเร็วสูงมากถึง AC5300 แต่เมื่อใช้จริงกลับได้ความเร็วไม่ถึง 500 mbps ด้วยซ้ำ

ปัญหาเกิดจากทางผู้ผลิต AP หรือ Router บอก Spec ที่เป็น 2-3 band รวมกันเป็น 4×4 MIMO แต่อุปกรณ์ที่เราใช้งานได้แค่ 1 band เป็น 2×2 MIMO (iPhone 11 ก็ยังเป็น 2×2 MIMO) ซึ่งความเร็วสูงสุดอยู่ที่ 1083 mbps นอกจากนี้ยังมีเรื่องของระยะทาง สิ่งกีดขวาง และค่า overhead ต่างๆ ความเร็วก็เลยต่างกันเยอะ

ความเร็วจริงจาก WIFI ที่ควรจะได้

802.11b	5.5 Mbps
802.11a	20 Mbps
802.11g	20 Mbps
802.11n	100 Mbps
802.11ac	200 Mbps
802.11ax	2 Gpbs

ผมใช้ Router AC1200 ความเร็วที่ใช้ได้จริงประมาณ 307 mbps

ใช้ MikroTik ร่วมกับ Ubiquiti และ Windows Server

ผมลองทำ MikroTik ให้เป็น Gateway แทน Fortigate สำหรับลูกค้าที่ต้องการใช้ออกอินเตอร์เน็ตได้ทุกอย่าง แต่อยากให้ผู้ใช้ต้อง login ก่อนใช้งานทั้ง WIFI และอินเตอร์เน็ต

ข้อกำหนด

ผู้ใช้ต้องใช้ username และ password ของตัวเองในการต่อ WIFI และออกอินเตอร์เน็ต
ใช้ User, DNS, DHCP บน Domain Controller
ผู้ใช้มี 2 กลุ่มที่อยู่กันคนละ Network

ส่วนประกอบของระบบ

Windows Server อย่างน้อย 1 เครื่อง
UniFi Server 1 เครื่อง
Access Point อย่างน้อย 1 เครื่อง
L2 Switch อย่างน้อย 1 เครื่อง
MikroTik 1 เครื่อง

ระบบ Network 3 VLAN

Server และ Network
ผู้ใช้กลุ่มที่ 1
ผู้ใช้กลุ่มที่ 2

ระบบ WIFI

ผู้ใช้กลุ่มที่ 1 ต้องใช้ username และ password เพื่อใช้งาน
ผู้ใช้กลุ่มที่ 2 ต้องใช้ username และ password เพื่อใช้งาน

ตั้งค่า Mikrotik

มี 3 VLAN และ MikroTik เป็น Gateway ของทุก VLAN
ใช้งาน Hotspot 2 VLAN เพื่อให้ผู้ใช้ต้อง Login ก่อนออกอินเตอร์เน็ต ส่วน VLAN Server ไม่ต้อง Login
Windows เครื่องเดียวแจก IP Address ให้ทุก VLAN บน MikroTik
ใช้ Uplink 1 เส้นจาก Switch มายัง MikroTik

ข้อดีของระบบนี้

ผู้ดูแลระบบไม่ต้องไปแก้ไข MikroTik โดยตรง สามารถจัดการ User, DHCP และ DNS ได้บน Windows
สำหรับลูกค้าที่ใช้ Active Directory อยู่แล้ว ผู้ใช้งานก็ใช้ Username/Password เดิมได้เลยไม่ต้องสร้างใหม่
มี Radius บน Windows 1 เครื่องที่ควบควบคุมการ Login ได้ทั้ง 4 รูปแบบ
- ผู้ใช้กลุ่มที่ 1 WIFI
- ผู้ใช้กลุ่มที่ 1 Hotspot
- ผู้ใช้กลุ่มที่ 2 WIFI
- ผู้ใช้กลุ่มที่ 2 Hotspot

สนใจสอบถามเพิ่มเติม info@implementer.co.th หรือ send message ทาง facebook

School Infrastructure

โครงสร้างทาง IT ที่โรงเรียนต้องมี
ขอแชร์ประสบการณ์ ที่ได้วางระบบและดูแลระบบให้กับโรงเรียนแห่งหนึ่งมีจำนวนนักเรียนประมาณ 4,000 + ทำให้รู้สึกว่าโรงเรียนก็เหมือนกับบริษัทซึ่งมีทั้งบริษัทขนาดเล็กและขนาดใหญ่ ซึ่งขนาดของโรงเรียนจะมีผลกับความซับซ้อนของระบบ IT ภายใน

สิ่งแรกที่ต้องมีไม่ว่าจะโรงเรียนขนาดเล็กหรือขนาดใหญ่คือระบบ Network ซึ่งจะเชื่อมโยงเครื่องคอมพิวเตอร์ เชื่อมโยงตึกต่างๆของโรงเรียนเข้าหากันเพื่อให้สามารถแลกเปลี่ยนข้อมูลระหว่างกัน รวมถึงเชื่อมต่อ Internet ให้สามารถค้นคว้าแลกเปลี่ยนข้อมูลไปยังภายนอก ระบบ Network เปรียบได้กับเส้นเลือดของคน ถ้าคนมีเส้นเลือดที่แข็งแรงและดีก็จะสามารถส่งเลือดไปเลี้ยงอวัยวะทุกส่วนได้อย่างราบรื่น ส่งผลให้อวัยวะสามารถทำงานได้เต็มประสิทธิภาพ ระบบ Network ก็เช่นกันถ้าโรงเรียนมีระบบ Network ที่ดีก็จะสามารถติดต่อสื่อสารแลกเปลี่ยนข้อมูลกันในโรงเรียนและรวมไปถึงแลกเปลี่ยนข้อมูลผ่าน Internet ได้อย่างรวดเร็วและปลอดภัย และยังต้องมีการแบ่งกลุ่มของ network ครู บุคลากร และ นักเรียนแยกกัน เพราะคงไม่อยากให้ ห้องคอมนักเรียนเอาไวรัสมาแพร่ให้กับเครื่องคอมของบุคลากรที่ใช้การบริหารงาน โรงเรียนจนไม่สามารถใช้งานได้

ระบบป้องกันการใช้งาน Internet (Firewall) ในปัจจุบัน Internet แทบจะมีผลต่อการดำรงชีวิตของเราในทุกๆวัน ไม่ว่าจะเป็นการค้นคว้าหาข้อมูล ส่ง e-mail ซึ่งข้อมูลบน Internet มีทั้งข้อมูลที่ดีมีประโยชน์ และ ข้อมูลที่ไม่ดีเป็นอันตรายต่อนักเรียน โรงเรียนจึงต้องมีระบบป้องกันคัดกรองข้อมูลที่มีประโยชน์มาให้นักเรียนและครูได้ใช้งาน

ระบบการจัดการผู้ใช้งานในโรงเรียน (Active Directory) เป็นระบบรวบรวมผู้ใช้ทั้งหมดในโรงเรียน โดยจะสามารถแบ่งผู้ใช้ออกเป็นกลุ่ม แต่ละกลุ่มจะมีสิทธิ์การใช้งาน การเข้าถึงข้อมูลได้แตกต่างกัน

ระบบเก็บข้อมูลส่วนกลาง (Network Attached Storage : NAS) มีไว้เพื่อรวบรวมข้อมูลต่างๆของโรงเรียน รวมถึงข้อมูลที่ครูหรือบุคลากรทำขึ้น ไม่ต้องเก็บไว้ที่เครื่องคอมพิวเตอร์ส่วนตัว เพื่อให้สะดวกต่อการค้นหา นำไปใช้ และยังสามารถ backup ข้อมูลดังกล่าวเพื่อป้องกันข้อมูลสูญหายได้จากส่วนกลาง

ระบบ e-mail ของโรงเรียน ครูและบุคลากรมีการใช้ e-mail ที่เป็นของโรงเรียนเพื่อสร้างภาพลักษณ์ สร้างความน่าเชื่อถือให้แก่บุคคลภายนอกว่าได้ติดต่อกับครูหรือบุคลากรของโรงเรียนจริงๆ ไม่ได้มีใครมาแอบอ้างว่าเป็นตัวแทนของโรงเรียน และยังสามารถมี e-mail ให้กับนักเรียนทุกคนได้อีก โดยที่นักเรียนสามารถใช้ e-mail นี้ในการเรียนการสอน เช่นส่งการบ้าน ส่งงาน รวมไปถึงการเรียนการสอน online ได้อีกด้วย

สนใจปรับปรุง วางระบบ IT ของโรงเรียนติดต่อได้ครับ