Manual-Mikrotik

(ร่าง)
การออกแบบระบบเครอื ข่ายสาหรบั โรงเรยี น

สาขาวิชาคอมพิวเตอรธ์ ุรกจิ และสาขาวิชาเทคโนโลยสี ารสนเทศ
คณะวิทยาศาสตรแ์ ละสงั คมศาสตร์ มหาวทิ ยาลยั บูรพา
รว่ มกับ

สานักงานบรหิ ารเทคโนโลยสี ารสนเทศเพ่อื พฒั นาการศกึ ษา
สานกั งานคณะกรรมการการอดุ มศึกษา

หน่วยท่ี 1
ร้จู กั กบั ไมโครติก

MikroTik เป็นบริษัทท่ีตัง้ ข้นึ ท่ีประเทศลัตเวียในยุโรปตะวันออก ก่อตัง้ เม่อื ปี 1995 เป็นผู้ผลิต
อุปกรณ์ทางดา้ นเครอื ขา่ ยต่าง ๆ เพ่อื รองรบั การใชง้ านใหแ้ ก่ผใู้ หบ้ รกิ ารอนิ เทอรเ์ น็ต โดยเรมิ่ จากการพฒั นา
RouterOS ซ่งึ ทาการดดั แปลงมาจากลนิ ุกซ์ (Linux) ใหม้ คี วามเหมาะสมต่อการใช้งานด้านระบบเครอื ขา่ ย
โดยเฉพาะการนาไปตดิ ตงั้ กบั เครอ่ื งคอมพวิ เตอรส์ ว่ นบคุ คล (PC-X86) เพ่อื ใหเ้ ครอ่ื งคอมพวิ เตอรน์ นั้ ทางาน
กลายเป็นเราเตอร์ (Router) หลงั จากนนั้ ไดม้ กี ารผลติ ฮารด์ แวรอ์ อกมาส่ตู ลาดมากมายหลากหลายรุ่น ซง่ึ
ทางานรว่ มกบั RouterOS โดย RouterOS น้เี ป็นระบบปฏบิ ตั กิ ารทม่ี คี วามสามารถดงั ต่อไปน้ี

RouterOS เมอ่ื ทาการตดิ ตงั้ แลว้ จะมคี ุณสมบตั ดิ งั ต่อไปน้ี

1. คุณสมบัติพ้ืนฐานท่ีสามารถทาได้ เช่น PPoE Client, Ethernet Connection, NAT / Port
Forwarding

2. Wireless Hotspot Server เพ่อื จดั ทาระบบ Authentication พสิ จู น์สทิ ธใิ ์ นการใชง้ านของผใู้ ชแ้ ต่
ละคนทใ่ี ชง้ านผ่านระบบเครอื ขา่ ยไรส้ าย รวมถงึ การออกคูปองและกาหนดแพค็ เกจราคาต่าง ๆ
ไดอ้ กี ดว้ ย

3. Bandwidth Management หรอื QoS สามารถกาหนดความเรว็ ในการดาวน์โหลดและอพั โหลด
ขอ้ มลู จดั สรรความเรว็ ใหแ้ ก่ผใู้ ชใ้ นระดบั กลุ่ม และระดบั รายบคุ คล

4. L7 Firewall (Application Firewall) สามารถจดั การ อนุญาต/บล็อค การใช้งานแอ็พพลิเคชนั
เชน่ Facebook, Skype, Line, Youtube เป็นตน้

5. VPN Server สรา้ งการเช่อื มโยงเครอื ข่ายระหว่างสาขาผ่านทางท่อเสมอื น (tunnel) และมกี าร
เขา้ รหสั ขอ้ มลู

6. Proxy Server ช่วยเพ่ิมความเรว็ ในการเรยี กหน้าเว็บไชต์ต่าง ๆ โดนการจดั เก็บข้อมูลของ
เวบ็ ไซต์ท่เี คยมกี ารเรยี กใชเ้ ป็น cache ในตวั เคร่อื งใน memory card หรอื Flash Drive ทาให้
ประหยดั bandwidth ของอนิ เทอรเ์ น็ต รวมถงึ การบลอ็ กการเขา้ เวบ็ ไซตต์ ่าง ๆ ท่ไี ม่เหมาะสม
และป้องกนั การดาวน์โหลดไฟลต์ อ้ งหา้ มไดอ้ กี ดว้ ย

7. Load Balance การรวมความเรว็ อนิ เทอรเ์ น็นหลายผใู้ หบ้ รกิ ารเขา้ ดว้ ยกนั และใชส้ ารองเมอ่ื เสน้
ใดเสน้ หน่งึ มปี ัญหา

อุปกรณ์ของไมโครตกิ จะแบง่ ออกเป็น 2 ประเภท คอื
1. Hardware จะเรยี กว่า RouterBoard ซ่งึ เป็นอุปกรณ์ลกั ษณะรวมทงั้ แผงวงจรหลกั ท่มี ี CPU,

RAM, RouterOS ประกอบรวมกนั บางรนุ่ สามารถเพมิ่ เตมิ อุปกรณ์ไดโ้ ดยมกี ารเพมิ่ ช่องสาหรบั
เชอ่ื มต่อใหเ้ รยี บรอ้ ย
2. Software จะเรยี กวา่ RouterOS เป็นซอฟทแ์ วรท์ พ่ี ฒั นาขน้ึ จากพน้ื ฐานของลนิ ุกส์ ทาหน้าทเ่ี ป็น
ระบบปฏบิ ตั กิ ารใหก้ บั RouterBoard และยงั สามารถนา RouterOS ไปตดิ ตงั้ บนเคร่อื งแม่ข่าย
หรอื เครอ่ื งคอมพวิ เตอรส์ ว่ นบุคคลได้ ซง่ึ RouterOS แบง่ ออกเป็นระดบั (Level) โดยแต่ละระดบั
จะมขี อ้ กาหนดความสามารถแตกต่างกนั ดงั รปู 1

1 อา้ งอิงขอ้ มูลจาก http://www.mikrotik.com

หน่วยท่ี 2
การติดตงั้ และคอนฟิ กเบอื้ งต้น

ในหวั ข้อน้ี จะเป็นการติดตัง้ ระบบไมโครติกเบ้ืองต้น โดยอาศัยการเช่ือมต่อตามแบบ
แผนภาพด้านล่าง โดยจะมสี ายสญั ญาณสู่ระบบ จานวน 3 เส้นทางได้แก่ PPoE, DHCP Client,
Fixed IP

ขนั้ ตอนการคอนฟิ ก
1. ดาวน์โหลดโปรแกรม winbox มาตดิ ตงั้ ทเ่ี ครอ่ื งคอมพวิ เตอรท์ จ่ี ะคอนฟิกไมโครตกิ โดยเขา้ ไป

ทเ่ี วบ็ ไซต์ www.mikrotik.com/download แลว้ เลอ่ื นลงเรอ่ื ยๆ ไปทห่ี วั ขอ้ Useful tools and
Utilities จากนนั้ ใหเ้ ลอื กดาวน์โหลด Winbox version 3.11

2. เปิดโปรแกรม Winbox version 3.11 ดงั ภาพดา้ นลา่ ง ใหก้ ดทป่ี ่มุ refresh จากนนั้ จะปรากฏ
หมายเลข Mac Address ขน้ึ มาใหเ้ ลอื กท่ี Mac Address ทต่ี อ้ งการ และใหใ้ ส่คา่ การ login

3

1
2

โดยค่าเรมิ่ ตน้ ของระบบ user : admin และ password : ค่าว่าง

3. เมอ่ื login เสรจ็ แลว้ จะเขา้ ส่หู น้าต่างการคอนฟิก ของไมโครตกิ ใหท้ าการลา้ งค่าคอนฟิกเก่า
ออกก่อน เพ่อื ใหก้ ารดาเนินการไมม่ ปี ัญหาการตงั้ คา่ ทค่ี า้ งไวจ้ ากเดมิ โดยเลอื กทเ่ี มนู System >
Reset Configuration จะปรากฏหน้าต่างดงั ภาพดา้ นลา่ ง

1 34

2
ในการ Reset Configuration นนั้ ใหเ้ ลอื ก No Default Configuration และกด Reset Configuration
จากนนั้ รอใหไ้ มโครตกิ บตู ใหเ้ รยี บรอ้ ยแลว้ เรมิ่ คอนฟิก ไดเ้ ลย
4. เชอ่ื มต่ออนิ เทอรเ์ น็ตจากผใู้ หบ้ รกิ าร (DHCP Client) โดยนาสายจากผใู้ หบ้ รกิ าร มาเช่อื มต่อเขา้

ทพ่ี อรต์ ของไมโครตกิ พอรต์ ใดกไ็ ด้ (ตวั อยา่ งจะเป็นพอรต์ ท่ี 3) จากนนั้ ทาการคอนฟิกดงั น้ี
IP > DHCP Client > กด + (add)
จากนนั้ จะปรากฏหน้าจอการตงั้ ค่า DHCP Client ใหก้ าหนดค่า Interface เป็นพอรต์ ทเ่ี รา
เช่อื มต่อไว้ และใหก้ ด Apply และ OK จากนนั้ จะปรากฏการเชอ่ื มต่อและหมายเลข IP Address ขน้ึ ท่ี
DHCP Client

3 4

1
2

5. เมอ่ื เช่อื มต่อกบั อนิ เทอรเ์ น็ตไดแ้ ลว้ นนั้ ใหท้ าการกาหนด interface ทจ่ี ะเชอ่ื มต่อกบั เครอื ขา่ ย
ภายในของโรงเรยี น (พอรต์ 4) และกาหนดคา่ IP Address ใหก้ บั Interface นนั้ ดงั น้ี

3 4
1

2

IP > Address > กดป่มุ + (add) >

จากนัน้ ให้กาหนดค่า IP Address ให้กบั interface ท่เี ราต้องการ (พอร์ต 4) โดยการ
กาหนดค่า IP Address นั้น ให้กาหนดค่า IP Address และ Network mask ในรูปแบบของ
Classless Inter-Domain Routing : CIDR ซ่งึ จะเขยี นในรูปแบบ / (slash) ตามด้วยค่า Netmask
Prefix เช่น /24 แทนค่า 255.255.255.0, /25 แทนค่า 255.255.255.128 เป็นตน้ 2 จากนนั้ ให้ทา
การกดทป่ี ่มุ Apply และกด OK ไมโครตกิ เรา้ เตอรก์ ็ add ค่าของ interfaces address ให้

6. จากนนั้ ใหท้ าการกาหนดค่า DHCP Server ใหก้ บั Interface ทเ่ี พม่ิ มาใหม่ เพ่อื ให้ DHCP
Server แจก IP Address ใหก้ บั เครอ่ื งคอมพวิ เตอรท์ เ่ี ช่อื มต่อเขา้ มาทพ่ี อรต์ น้ี ดงั น้ี

1 4 7
2 5 3

6 8

9

IP > DHCP Server > กดป่มุ DHCP Setup (Auto Configuration) >
เมอ่ื กด DHCP Setup แลว้ ตอ้ งทาการตงั้ ค่า DHCP Server Interface : ether4 จากนนั้ กด next มา
สกู่ ารตงั้ คา่ DHCP Address Space : 192.168.210.0/24 กด next จากนนั้ ระบบจะใหก้ รอก Gateway for
DHCP Network : 192.168.210.1 (IP address เดยี วกบั ทเ่ี รากาหนดท่ี interface ether4) จากนนั้ กด next
จะเขา้ ส่กู ารคอนฟิก Scope (Address for Give Out) ใหก้ าหนดชว่ งของ IP address ทต่ี อ้ งการแจกใหล้ กู
ขา่ ย ในแลบ็ น้ใี ช้ 192.168.210.10-192.168.210.250 จากนนั้ กด next จะเขา้ สกู่ ารกาหนด DHCP Server

2 อา้ งอิงจาก https://www.aelius.com/njh/subnet_sheet.html

เมอ่ื กาหนดเสรจ็ ใหก้ ด next จะเขา้ ส่กู ารกาหนดชว่ งระยะเวลาของการ keep alive ของ IP address ท่ี
แจกใหร้ ะบบ คา่ เรม่ิ ตน้ จะเป็น 00:10:00 หมายถงึ สบิ นาที ใหป้ รบั แกต้ ามความตอ้ งการ ตวั อยา่ งใหเ้ วลา 1
วนั 10 นาที ดงั น้ี 1d 00:10:00

7. กาหนดให้ IP address ของพอรต์ 4 สามารถใชง้ านอนิ เทอรเ์ น็ตได้ ผา่ นทางพอรต์ 3 ทเ่ี ชอ่ื มต่อ
กบั ระบบเครอื ขา่ ย โดยการกาหนด Firewall

3

4

1
2

IP > Firewall >

เลอื กแทบ็ NAT > กดป่มุ + (add)
Chain : srcnat
Out. Interface : interface ทเ่ี ช่อื มต่อออกเน็ต (ether3)

เลอื กแทบ็ Action
Action : Masquerade

เสรจ็ แลว้ กด Apply และ OK
8. เมอ่ื กาหนดค่าของ Masquerade เสรจ็ แลว้ ใหต้ รวจสอบการทางานของ DNS อกี ครงั้ ท่ี

IP > DNS ดงั รปู ดา้ นลา่ ง

3

1
2

ใหเ้ พม่ิ เตมิ  Allow Remote Requests เพ่อื ใหเ้ ครอ่ื งลกู ขา่ ยสามารถใชง้ าน DNS ได้
และทแ่ี ทบ็ Server: ใหเ้ พม่ิ เตมิ DNS ทเ่ี ราตอ้ งการ เช่น DNS ของ Google : 8.8.8.8

9. หลงั จากเสรจ็ แลว้ ใหท้ าการกาหนดค่าของ NTP server เพ่อื ใหเ้ วลาของอุปกรณ์ตรงกบั เวลา
โลก โดยกาหนดท่ี System > Clock >

2 3
1

ถา้ ตอ้ งการใหไ้ มโครตกิ แจกไอพี ไปยงั พอรต์ อ่นื ดว้ ยนนั้ ไมโครตกิ มฟี ังกช์ นั การทางานทเ่ี รยี กว่า
bridge เพอ่ื ใหเ้ ราเช่อื มต่อพอรต์ 2 Port เป็น bridge ได้ โดยเลอื กทเ่ี มนู Bridge จากนนั้ ใหก้ ดป่มุ + (add)
เมอ่ื ปรากฏหน้าจอขน้ึ มาใหก้ าหนดค่า name จากนนั้ ทาการ Apply และ OK กจ็ ะปรากฏ bridge ขน้ึ ดงั รปู

12

ใหท้ าการเลอื กทแ่ี ทบ็ port > กดป่มุ + (add) >

1
23

เลอื ก interface ทจ่ี ะ add เขา้ Bridge กด Apply และ OK ถา้ ตอ้ งการเพม่ิ พอรต์ อ่นื อกี กใ็ หท้ า
เชน่ เดยี วกนั โดยในรปู ตวั อยา่ งทาพอรต์ 4 และ พอรต์ 5

ถา้ ตอ้ งการให้ DHCP Server แจก IP ใหก้ บั Bridge Interface ใหป้ รบั แกก้ ารแจก DHCP ของ
DHCP Server ดงั น้ี

IP > DHCP Server > เลอื ก DHCP Server ทต่ี อ้ งการ (ปกติ เมอ่ื ทา bridge จะเป็นสแี ดง) จากนนั้
ใหแ้ กไ้ ข Interface ของ DHCP Server เป็น bridge เทา่ น้กี ส็ ามารถใชง้ านทพ่ี อรต์ 4 และพอรต์ 5 ไดแ้ ลว้

2

1

การเช่ือมต่อกบั ผใู้ ห้บริการแบบ PPoE Client
การเชอ่ื มต่อกบั ผใู้ หบ้ รกิ ารแบบ PPoE Client นนั้ เป็นทน่ี ยิ มมากในปัจจบุ นั เน่อื งจากการใหบ้ รกิ าร

อนิ เทอรเ์ น็ตนนั้ มกี ารแพรห่ ลายมาก โดยมผี ใู้ หบ้ รกิ ารมากหมายหลายบรษิ ทั สามารถเลอื กใชง้ านไดต้ าม
ความตอ้ งการและพน้ื ทใ่ี หบ้ รกิ าร ในหวั ขอ้ น้จี ะแสดงวธิ กี ารเช่อื มต่อกบั ผใู้ หบ้ รกิ ารดว้ ย PPoE Client

1. ทาการเชอ่ื มต่อสายสญั ญาณเขา้ กบั ไมโครตกิ และเรยี ก Winbox เพอ่ื เขา้ ไปตงั้ ค่า

2. สรา้ งการเชอ่ื มต่อแบบ PPoE Client โดยเขา้ ไปทเ่ี มนู PPP > คลกิ เลอื กป่มุ + (add) > เลอ่ื นลง
หาเมนู PPoE Client ดงั รปู

12

3

จากนนั้ จะปรากฏหน้าจอ New Interface เพ่อื ใหต้ งั้ คา่ การเช่อื มต่อ PPoE ทแ่ี ทบ็ General ให้
เลอื ก Interface ทเ่ี ช่อื มกบั กบั ผใู้ หบ้ รกิ าร PPoE จากนนั้ ใหเ้ ลอื กท่ี แทบ็ Dial Out ใหใ้ สค่ า่ Username/
Password ทไ่ี ดร้ บั จากผใู้ หบ้ รกิ ารและเลอื ก  Use Peer DNS

4 6
5 7

เมอ่ื ทาการเช่อื มต่อแลว้ จะปรากฏหน้าจอดงั ภาพดา้ นล่าง ซง่ึ ดา้ นหน้าจะปรากฏตวั R=Running
ขน้ึ แสดงวา่ PPoE เราเช่อื มต่อไดแ้ ลว้

8

จากนนั้ กท็ าตามขนั้ ตอนคลา้ ยกบั การทาแบบเชอ่ื มต่อดว้ ย DHCP Client ตามลาดบั

การเชื่อมต่อกบั ผใู้ ห้บริการแบบ Fixed IP

การเชอ่ื มต่อกบั ผใู้ หบ้ รกิ ารแบบ Static IP หรอื Fixed IP นนั้ เป็นการเช่อื มต่อทม่ี กี ารกาหนด
หมายเลข IP Address มาใหจ้ ากผใู้ หบ้ รกิ าร ใหน้ าหมายเชขนัน้ มากาหนดท่ี Mikrotik และทาการกาหนด
Routing ไปท่ี IP Next Hop

1. ทาการเชอ่ื มต่อสายสญั ญาณเขา้ กบั ไมโครตกิ และเรยี ก Winbox เพ่อื เขา้ ไปตงั้ ค่า (ตามการ
เช่อื มต่อ DHCP Client)

2. สรา้ งการเชอ่ื มต่อแบบ Static IP โดยเขา้ ไปทเ่ี มนู IP > Address > คลกิ เลอื กป่มุ + (add) >
ทห่ี น้าต่าง New Address ใหใ้ สค่ า่ IP Address ทไ่ี ดร้ บั จากผใู้ หบ้ รกิ าร ดงั รปู

3 4

1
2

หลงั จากทส่ี รา้ ง IP Address ใหก้ บั การเชอ่ื มต่อแลว้ ใหท้ าการเพมิ่ Routing ใหก้ บั ระบบโดยการทา
ท่ี IP > Route > จะปรากฏหน้าต่าง Route List > คลกิ เลอื กป่มุ + (add) >

ทาการกาหนด New Route ไปท่ี IP Address อกี ขา้ งของ IP ทผ่ี ใู้ หบ้ รกิ ารกาหนดมา ในรปู ตวั อยา่ ง
จะเป็น 10.10.10.1

3 4
1

2

จากรปู การณ์กาหนด Routing น้คี อื กาหนดให้ Dst. Address จาก 0.0.0.0/0 หมายถงึ จากทใ่ี ด ๆ ก็
ตามใหใ้ ช้ gateway ทก่ี าหนดคอื 10.10.10.1

หน่วยที่ 3
Mikrotik VLAN-Switch Trunk and Access
VLAN มาจาก Virtual Local Area Network เป็นฟังก์ชนั ท่ชี ่วยในการบรหิ ารเครอื ข่ายใหส้ ามารถ
แบ่ง Broadcast ออกเป็นส่วนยอ่ ย ๆ ได้ โดยเราสามารถมี Virtual LAN หรอื VLAN ไดห้ ลายๆ VLAN บน
1 Physical Interface ซ่ึงจะเป็นได้ทัง้ Ethernet Interface หรอื Wireless LAN Interface โดย VLAN บน
Mikrotik RouterOS จะทางานอย่ใู น Layer 2 ของ OSI Model และใชโ้ ปรโตคอล(Protocol) ทเ่ี ป็นมาตรฐาน
กลาง IEEE 802.1Q ดงั นัน้ จงึ สามารถเอา VLAN ของ Mikrotik ไปเช่อื มต่อกบั อุปกรณ์อ่ืนท่ีใช้ protocol
IEEE 802.1Q ได้
เม่อื มกี ารส่งผ่านข้อมูลบน Physical Interface ปกติ จะไม่มกี ารระบุ VLAN ID เม่อื มกี ารกาหนด
VLAN จะมกี าร tagged ขอ้ มลู เพมิ่ ขน้ึ และมกี ารระบุ VLAN ID เพอ่ื ใชใ้ นการตรวจสอบ ซง่ึ VLAN Tag ทใ่ี ส่
ลงไปจะมขี นาด 4 byte3

ภาพแสดง การใส่ VLAN Tag (VLAN ID) ลงใน Ethernet Frame

VLAN แต่ละ VLAN ปกตจิ ะถูกแยกกนั โดย Subnet ซง่ึ เครอ่ื งคอมพวิ เตอรต์ อ้ งอยใู่ น Subnet และ
VLAN เดยี วกนั จงึ จะสามารถตดิ ต่อสอ่ื สารกนั ได้ ถงึ แมว้ ่าเครอ่ื งคอมพวิ เตอร์ จะต่ออยบู่ นสวติ ช์ (Switch)
ตวั เดยี วกนั และอยใู่ น Subnet เดยี วกนั กต็ าม แต่อยคู่ นละ VLAN กจ็ ะไมส่ ามารถตดิ ต่อส่อื สารกนั ได้ แต่ถา้
ตอ้ งการใหเ้ ครอ่ื งคอมพวิ เตอรท์ อ่ี ยตู่ ่าง VLAN ใหส้ ามารถตดิ ต่อกนั ได้ จาเป็นจะตอ้ งมี Router เป็นตวั กลาง
ในการเช่อื มต่อ

RouterOS รองรบั interface VLAN สงู สุดท่ี 4095 interface VLAN โดยในแต่ละ interface VLAN
จะตอ้ งมี VLAN ID ทไ่ี ม่ซา้ กนั เมอ่ื ใดกต็ ามทต่ี อ้ งการเชอ่ื มต่อ VLAN ไปยงั Switch ทม่ี ากกว่าหน่งึ ตวั
จะตอ้ งเชอ่ื มต่อ Switch ดว้ ย “Trunk”

3 ref: http://wiki.mikrotik.com/wiki/Manual:Interface/VLAN

Trunk จะมี frame ขอ้ มลู ทถ่ี ูก tagged วง่ิ ผ่าน เพอ่ื ระบวุ า่ เป็น VLAN ทว่ี ง่ิ ผ่านนนั้ เป็น VLAN อะไร
เน่อื งจาก Trunk จะอนุญาตให้ VLAN หลาย ๆ VLAN วงิ่ ผา่ นได้ ดงั นนั้ Trunk จะใชส้ าหรบั เช่อื มต่อระหวา่ ง
Switch กบั Switch หรอื ระหว่าง Router กบั Switch

ภาพแสดง การเชอ่ื มต่อสวติ ชส์ องตวั แบบ Trunk

หลงั จากทท่ี าความรจู้ กั กบั VLAN และ Trunk กนั แลว้ เพอ่ื ใหเ้ ขา้ ใจการทางานและสามารถคอนฟิก
ไดน้ นั้ ผเู้ ขยี นไดอ้ อกแบบการเชอ่ื มต่อเครอื ขา่ ยทใ่ี ชก้ ารทางานของ VLAN และ Trunk มาประยกุ ตใ์ นการ
เช่อื มต่อเครอื ขา่ ยดงั ภาพ

จากรปู ทอ่ี อกแบบไว้ จะอธบิ ายรายละเอยี ด เรม่ิ จาก Router ทเ่ี ชอ่ื มต่อกบั อนิ เทอรเ์ น็ตดว้ ย WAN
Port (ether1) ท่ี ether2 จะเป็น DHCP Client จากนนั้ สรา้ ง VLAN ทงั้ หมด 5 VLAN และใหแ้ ต่ละ VLAN
สามารถตดิ ต่อส่อื สารกนั ได้

 VLAN1 สแี ดง untagged (192.168.1.0/24) — เป็น VLAN สาหรบั ใชจ้ ดั การคอนฟิก(config) อปุ กรณ์ Mikrotik
Router ทกุ ตวั (Router, SW1, SW2) ไมแ่ จก DHCP และไมส่ ามารถใชง้ านอนิ เทอรเ์ น็ตได้

 VLAN10 สเี หลอื ง (192.168.10.0/24) — เป็น VLAN ของเครอ่ื งคอมพวิ เตอรข์ องบุคลากร มกี ารแจก DHCP และ
สามารถใชง้ านอนิ เทอรเ์ นต็ ได้

 VLAN20 สดี า (192.168.20.0/24) — เป็น VLAN เครอ่ื งคอมพวิ เตอรข์ องนกั เรยี นในหอ้ งปฏบิ ตั กิ าร มกี ารแจก
DHCP และสามารถใชง้ านอนิ เทอรเ์ นต็ ได้

 VLAN88 สฟี ้า (192.168.88.0/23) — เป็น VLAN hotspot login สาหรบั บุคลากรในองคก์ ร มกี ารแจก DHCP และ
สามารถใชง้ านอนิ เทอรเ์ นต็ ไดเ้ มอ่ื ทาการ login เรยี บรอ้ ยแลว้

 VLAN99 สเี ขยี ว (192.168.99.0/24) — เป็น VLAN hotspot login สาหรบั Guest ทเ่ี ขา้ มาในองคก์ ร มกี ารแจก
DHCP และสามารถใชง้ านอนิ เทอรเ์ นต็ ไดเ้ ม่อื มกี าร login เรยี บรอ้ ยแลว้

SW1 และ SW2 ทาหน้าทเ่ี ป็น Switch แยก VLAN และ AP1, AP2 ทาหน้าทเ่ี ป็น AccessPoint
ปล่อยสญั ญาณ WiFi ออกมา 2 ช่อื พรอ้ มกนั บน AccessPoint ตวั เดยี วกนั (2 SSID) ชอ่ื วา่ “WiFi-demo”
(vlan88) และ “WiFi-Guest” (vlan99)

สาหรบั ในตวั อย่างการคอนฟิกน้ี จะเรมิ่ จากไมโครตกิ ทท่ี าหน้าทเ่ี ป็น Switch ก่อน โดยในตวั อยา่ งน้ี
SW1 และ SW2 ใช้ hap(RB951Ui–2nD) เพราะไมโครติกรุ่นน้ีมี PoE ท่ีพอร์ต ether5 ซ่ึงสามารถนา
Access Point ทใ่ี ช้งานแบบ PoE มาต่อได้สะดวกไม่ตอ้ งเสยี บปลกั๊ อกี โดย Switch แต่ละตวั มรี ายละเอยี ด
การคอนฟิกดงั น้ี

SW1

 ether1 เป็น Trunk Port อนุญาต ให้ VLAN 1(untagged), 10, 20, 88, 99 ผา่ นได้ ใชส้ าหรบั เชอ่ื มต่อไปยงั
Router

 ether2 เป็น Trunk Port อนุญาต ให้ VLAN 1(untagged), 10, 20, 88, 99 ผา่ นได้ ใชส้ าหรบั เชอ่ื มต่อไปยงั SW2

 ether3 เป็น Access Port VLAN10 (เป็นสมาขกิ ของ VLAN10) ใหเ้ คร่อื งทใ่ี ชง้ านสาหรบั บคุ ลากรต่อเชอ่ื ม

 ether4 เป็น Access Port VLAN20 (เป็นสมาขกิ ของ VLAN20) ใหเ้ คร่อื งทใ่ี ชง้ านในหอ้ งปฏบิ ตั กิ ารต่อเชอ่ื ม

SW2

 ether1 เป็น Trunk Port อนุญาต ให้ VLAN 1(untagged), 10, 20, 88, 99 ผา่ นได้ ใชส้ าหรบั เชอ่ื มต่อไปกบั SW1
 ether2 เป็น Trunk Port อนุญาตให้ VLAN 1(untagged), 88, 99 ผ่านได้ ใชส้ าหรบั เชอ่ื มต่อไปกบั AP1
 ether3 เป็น Trunk Port อนุญาตให้ VLAN 1(untagged), 88, 99 ผา่ นได้ ใชส้ าหรบั เช่อื มต่อไปกบั AP2
 ether4 เป็น Access Port VLAN20 (เป็นสมาขกิ ของ VLAN20) ใหเ้ ครอ่ื งทใ่ี ชง้ านในหอ้ งปฏบิ ตั กิ ารต่อเช่อื ม
 ether5 เป็น Access Port VLAN10 (เป็นสมาขกิ ของ VLAN10) ใหเ้ ครอ่ื งทใ่ี ชง้ านสาหรบั บคุ ลากรต่อเชอ่ื ม

ก่อนเริม่ ทำกำรคอนฟิ ก อย่ำลืม! reset-configuration no default
หลงั จากทาความเขา้ ใจกบั รปู แบบการเช่อื มต่อแลว้ เรมิ่ ทาการคอนฟิกตามระบบทอ่ี อกแบบไดเ้ ลย

ท่ีสวิตชต์ วั ที่ 1 (SW1)

1. หลงั จาก reset configuration แลว้ ใหท้ าการเช่อื มต่อสาย และเขา้ winbox เพ่อื คอนฟิกระบบ
2. เพ่อื ไมใ่ หเ้ กดิ การสบั สนเวลาเขา้ มาคอนฟิกอกี ครงั้ ใหท้ าการตงั้ ค่า identity ใหก้ บั อุปกรณ์ โดยทา

ดงั น้ี

2 3
1

3. จากนนั้ ใหท้ าการคอนฟิกอนิ เตอรเ์ ฟส ทต่ี อ้ งการทา trunk โดยในตวั อยา่ งน้ีทาท่ี ether1 โดยเขา้
ไปท่ี Interface > VLAN > จากนนั้ กดป่มุ add (+)

1 2
3

4. หลงั จากกดป่มุ add (+) จะปรากฏหน้าต่าง New Interface ขน้ึ มา
 Name ใส่ช่อื ให้ interface โดยชอ่ื ควรจะส่อื ความหมาย เพอ่ื ไมใ่ หส้ บั สนเมอ่ื กลบั มาด
รายละเอยี ดอกี ครงั้ เชน่ vlan10 อยใู่ น interface ether1 กต็ งั้ ช่อื วา่ “ether1-vlan10”
 VLAN ID ใสต่ วั เลข VLAN ID
 Interface เลอื ก interface หลกั ทจ่ี ะเพม่ิ interface VLAN ลงไป

1

2
3

5. จากนนั้ ใหท้ าซ้าขอ้ 4 โดยเปลย่ี นการกาหนดค่า VLAN ID เป็น 20, 88, 99 (ไมต่ อ้ งทา ether1-
vlan1 เพราะกาหนดให้ vlan1 untagged)

6. เมอ่ื ทา ether1 เรยี บรอ้ ยแลว้ ท่ี SW1 ตอ้ งทา trunk port ท่ี ether2 (เช่อื มต่อไป SW2) โดยทา
ตามขนั้ ตอน 3, 4, 5 ตามลาดบั
1
2
3

เพอ่ื ทดสอบความถกู ตอ้ งของการคอนฟิก ใหต้ รวจสอบทแ่ี ทบ็ Interface จะปรากฏ interface
VLAN ขน้ึ ภายใต้ interface หลกั โดยหน้าตาแสดงผลจะปรากฏดงั ภาพดา้ นล่าง ดงั น้ี

ทาการสร้าง bridge ให้กบั VLAN ทงั้ หมด
7. ทาการสรา้ ง bridge ใหก้ บั VLAN โดยดาเนินการดงั น้ี

12 4 5
3

เมอ่ื ทาเสรจ็ แลว้ ใหท้ าซ้า ขนั้ ตอนท่ี 2-5 จนครบทุก VLAN ซง่ึ จะไดผ้ ลลพั ธด์ งั ภาพ

ภาพแสดงผลการสรา้ ง bridge-vlan

ขนั้ ตอนต่อไปนี้นี้เป็นขนั้ ตอนที่สาคญั เพราะเป็นการกาหนดว่า Interface ใด จะใช้งานด้วย vlan ใด

8. จากรปู bridge-vlan1 (สแี ดง) จะมสี มาชกิ 3 Interface คอื ether1, ether2 และ ether5 ซง่ึ vlan1
เป็น untagged VLAN ใหท้ าการเพมิ่ interface ลงไปท่ี bridge จงึ เพม่ิ Interface ไดเ้ ลย ดงั น้ี

2 4
1

3

เพมิ่ ทกุ Interface ทใ่ี ชง้ าน vlan1 ลงไปท่ี bridge-vlan1 6
5

เมอ่ื เพมิ่ เสรจ็ จะปรากฏ Interface ทท่ี างานเป็น bridge-vlan1 ดงั ภาพ

ภาพแสดง port ทเ่ี ป็นสมาชกิ ของ bridge-vlan1

9. ต่อไปใหท้ า bidge-vlan10 โดยกลบั ไปดทู ่ี diagram VLAN10(สเี หลอื ง) จะมสี มาชกิ คอื Interface
1, 2 และ 3 แต่เน่อื งจาก VLAN10 เป็น VLAN tagged เวลาเลอื ก Interface สาหรบั bridge-
vlan10 นนั้ ตอ้ งเลอื กเป็น ether1-vlan10, ether2-vlan10 ส่วน ether3 นนั้ เลอื กปกตไิ ดเ้ ลย
เพราะเป็น Access Port

1
23
4

เมอ่ื เพม่ิ interface ตามภาพดา้ นบนแลว้ จะปรากฏรายละเอยี ดดงั ภาพ

ภาพแสดง port ทเ่ี ป็นสมาชกิ ของ bridge-vlan10

ใหท้ าจนครบทงั้ 5 bridge โดยองิ ท่ี diagram เป็นหลกั เมอ่ื ทาครบทงั้ 5 bridge แลว้ นนั้ จะ
ปรากฏ ดงั ภาพ

10. ทาการกาหนด IP Address เพอ่ื ใชใ้ นการ management ท่ี bridge-vlan1
3

1 4
2

ที่สวิตชต์ วั ท่ี 2 (SW2)

1. หลงั จาก reset configuration แลว้ ใหท้ าการเช่อื มต่อสาย และเขา้ winbox เพอ่ื คอนฟิกระบบ
2. เพอ่ื ไมใ่ หเ้ กดิ การสบั สนเวลาเขา้ มาคอนฟิกอกี ครงั้ ใหท้ าการตงั้ ค่า identity ใหก้ บั อุปกรณ์ โดยทา

ดงั น้ี

3

12 4

เน่อื งขนั้ ตอนการสรา้ ง VLAN ต่าง ๆ ของ SW2 จะคลา้ ยกบั SW1 ดงั นนั้ จงึ สรปุ ดงั ต่อไปน้ี
3. สรา้ ง Interface VLAN ใหก้ บั port ทเ่ี ป็น trunk คอื ether1, ether2 และ ether3

3 2
1

4 6
5

เมอ่ื ทาการเพม่ิ จนครบแลว้ จะไดด้ งั น้ี

ภาพแสดง VLAN แต่ละ Interface

ภาพแสดงรายละเอยี ดของ Interface VLAN

4. ทาการสรา้ ง bridge และเพมิ่ Interface ให้ bridge ดงั น้ี
ทาการสรา้ ง bridge; bridge-vlan1, bridge-vlan10, bridge-vlan20, bridge-vlan88 และ

bridge-vlan99
จากนนั้ ทาการ เพมิ่ interface vlan เขา้ ไปท่ี bridge ทส่ี รา้ งขน้ึ โดยอา้ งองิ จาก diagram ท่ี

ออกแบบ ดงั น้ี

2
1

3

5. เพม่ิ IP Address เพอ่ื ใชใ้ นการ management สาหรบั SW2 ดงั น้ี
3

1 4
2 5

ที่เรา้ เตอร์ (Router)

Router ทาหน้าทเ่ี ป็น Internet Gateway Router หรอื Router ทาหน้าทเ่ี ช่อื มต่อกบั อนิ เทอรเ์ น็ต
(Internet) และเป็นทใ่ี หบ้ รกิ ารท่จี าเป็นต่อการใชง้ าน เช่น ทา dhcp server, hotspot, port forward เพ่อื ดู
กลอ้ ง CCTV ผา่ น internet เป็นตน้ โดยก่อนทจ่ี ะเรม่ิ คอนฟิก ขอนาเอารปู ของ network diagram และ
รายละเอยี ดมาทาความเขา้ ใจอกี ครงั้

จากนัน้ มาเริ่มคอนฟิ ก
1. หลงั จาก reset configuration แลว้ ใหท้ าการเช่อื มต่อสาย และเขา้ winbox เพ่อื คอนฟิกระบบ
2. เพ่อื ไมใ่ หเ้ กดิ การสบั สนเวลาเขา้ มาคอนฟิกอกี ครงั้ ใหท้ าการตงั้ คา่ identity ใหก้ บั อุปกรณ์ โดยทา
ดงั น้ี

3

1
2

3. เชอ่ื มต่ออนิ เทอรเ์ น็ตจากผใู้ หบ้ รกิ าร (DHCP Client) โดยนาสายจากผใู้ หบ้ รกิ าร มาเช่อื มต่อเขา้
ทพ่ี อรต์ ของไมโครตกิ พอรต์ ใดกไ็ ด้ (ตวั อยา่ งจะเป็นพอรต์ ท่ี 1) จากนนั้ ทาการคอนฟิกดงั น้ี
IP > DHCP Client > กด + (add)

จากนนั้ จะปรากฏหน้าจอการตงั้ ค่า DHCP Client ใหก้ าหนดค่า Interface เป็นพอรต์ ทเ่ี รา
เช่อื มต่อไว้ และใหก้ ด Apply และ OK จากนนั้ จะปรากฏการเช่อื มต่อและหมายเลข IP Address ขน้ึ ท่ี
DHCP Client

3 4
1

2

4. เมอ่ื เช่อื มต่อกบั อนิ เทอรเ์ น็ตไดแ้ ลว้ นนั้ ใหท้ าการกาหนด interface ทจ่ี ะเช่อื มต่อกบั เครอื ขา่ ย
LAN ภายใน (พอรต์ 4) ซง่ึ จะมี VLAN อยทู่ งั้ หมด 5 VLAN คอื vlan10, vlan20, vlan88, และ vlan99 โดย
ทาการสรา้ ง Interface VLAN ขน้ึ มาก่อน โดยไมต่ อ้ งสรา้ ง vlan1 เพราะเป็น untagged VLAN

Interface > VLAN > Add (+) จากนนั้
Name: ช่อื Interface VLAN
VLAN ID: หมายเลขของ VLAN
Interface: เลอื ก Interface ทต่ี อ้ งการทา VLAN

1 2
34 56

5. เมอ่ื ดาเนินการเสรจ็ ขนั้ ต่อไปคอื ทาการ Set คา่ IP Address ใหก้ บั Interface ทส่ี รา้ งขน้ึ

Ether4 :
 eth4-vlan1: 192.168.1.1
 eth4-vlan10: 192.168.10.1/24
 eth4-vlan20: 192.168.20.1/24
 eth4-vlan88: 192.168.88.1/23
 eth4-vlan99: 192.168.99.1/23

2 67
1

3 45

6. พจิ ารณาการกาหนด VLAN จาก Diagram

 VLAN1 สแี ดง untagged (192.168.1.0/24) — เป็น VLAN สาหรบั ใชจ้ ดั การคอนฟิก(config) อุปกรณ์
Mikrotik Router ทกุ ตวั (Router, SW1, SW2) ไมแ่ จก DHCP และไม่สามารถใชง้ านอนิ เทอรเ์ นต็ ได้

 VLAN10 สเี หลอื ง (192.168.10.0/24) — เป็น VLAN ของเคร่อื งคอมพวิ เตอรข์ องบุคลากร มกี ารแจก
DHCP และสามารถใชง้ านอนิ เทอรเ์ นต็ ได้ (DHCP Server)

 VLAN20 สดี า (192.168.20.0/24) — เป็น VLAN เครอ่ื งคอมพวิ เตอรข์ องนกั เรยี นในหอ้ งปฏบิ ตั กิ าร มี
การแจก DHCP และสามารถใชง้ านอนิ เทอรเ์ น็ตได้ (DHCP Server)

 VLAN88 สฟี ้า (192.168.88.0/23) — เป็น VLAN hotspot login สาหรบั บุคลากรในองคก์ ร มกี ารแจก
DHCP และสามารถใชง้ านอนิ เทอรเ์ น็ตไดเ้ ม่อื ทาการ login เรยี บรอ้ ยแลว้ (DHCP Server - Hotspot)

 VLAN99 สเี ขยี ว (192.168.99.0/24) — เป็น VLAN hotspot login สาหรบั Guest ทเ่ี ขา้ มาในองคก์ ร มี
การแจก DHCP และสามารถใชง้ านอนิ เทอรเ์ นต็ ไดเ้ ม่อื มกี าร login เรยี บรอ้ ยแลว้ (DHCP Server-Hotspot)

7. ทาการกาหนดค่า DHCP Server ใหก้ บั Interface เพอ่ื ให้ DHCP Server แจก IP Address
ใหก้ บั เครอ่ื งคอมพวิ เตอรท์ เ่ี ชอ่ื มต่อเขา้ มาท่ี Interface ทก่ี าหนด ดงั น้ี

7
3

1 4 8
2 5

69

IP > DHCP Server > กดป่ มุ DHCP Setup (Auto Configuration) >

เมอ่ื กด DHCP Setup แลว้ ต้องทาการตงั้ ค่า DHCP Server Interface : ether4-vlan10 จากนัน้ กด
next มาสู่การตัง้ ค่า DHCP Address Space : 192.168.10.0/24 กด next จากนั้นระบบจะให้กรอก
Gateway for DHCP Network:192.168.10.1 (IP address เดียวกับท่ีกาหนดท่ี interface ether4-vlan10)
จากนัน้ กด next จะเข้าสู่การคอนฟิก Scope (Address for Give Out) ให้กาหนดช่วงของ IP address ท่ี
ต้องการแจกใหล้ กู ข่าย ในแลบ็ น้ีใช้ 192.168.10.10-192.168.10.250 จากนนั้ กด next จะเขา้ ส่กู ารกาหนด
DHCP Server เม่อื กาหนดเสรจ็ ให้กด next จะเขา้ สู่การกาหนดช่วงระยะเวลาของการ keep alive ของ
IP address ท่แี จกให้ระบบ ค่าเรม่ิ ต้นจะเป็น 00:10:00 หมายถงึ สบิ นาที ให้ปรบั แก้ตามความต้องการ
ตวั อยา่ งใหเ้ วลา 1 วนั 10 นาที ดงั น้ี 1d 00:10:00

 กาหนดให้ IP address ของพอรต์ 4 สามารถใชง้ านอนิ เทอรเ์ น็ตได้ ผา่ นทางพอรต์ 1 ทเ่ี ช่อื มต่อกบั
ระบบเครอื ขา่ ยอนิ เทอรเ์ น็ต โดยการกาหนดท่ี Firewall > NAT

2 5
3

14
6

IP > Firewall > เลอื กแทบ็ NAT > กดป่มุ + (add)

Chain : srcnat
Src. Address : IP Address ของ Network Interface-vlan10 (192.168.10.0/24)
เลอื กแทบ็ Action
Action : Masquerade
เสรจ็ แลว้ กด Apply และ OK
8. ใหท้ าซ้าขอ้ 7 แต่เปลย่ี น Interface เป็น Interface-vlan20 (สามารถเปลย่ี นช่อื ของ DHCP server
และ pool ไดด้ งั ตวั อยา่ ง)

9. ทา hotspot สาหรบั hotspot login (Interface_vlan88, Interface_vlan99) ไปท่ี IP > Hotspot
36

1 4 7
2 5 8

9 10 11

10. ใหท้ าซ้าขอ้ 9 แต่เปลย่ี น Interface เป็น Interface-vlan99 (สามารถเปลย่ี นชอ่ื Hotspot server /
Profiles ไดด้ งั ภาพ)

11. เมอ่ื กาหนดค่าของ Masquerade / Hotspot เสรจ็ แลว้ ใหต้ รวจสอบการทางานของ DNS อกี ครงั้ ท่ี
IP > DNS ดงั รปู ดา้ นลา่ ง

3

1
2

ใหเ้ พมิ่ เตมิ  Allow Remote Requests เพอ่ื ใหเ้ ครอ่ื งลกู ขา่ ยสามารถใชง้ าน DNS ได้
และทแ่ี ทบ็ Server: ใหเ้ พมิ่ เตมิ DNS ทเ่ี ราตอ้ งการ เชน่ DNS ของ Google : 8.8.8.8

เมอื่ เสรจ็ แลว้ ใหเ้ สยี บสายตามทอี่ อกแบบไว้ และทาการทดสอบกจ็ ะไดผ้ ลตามทตี่ อ้ งการ

ร่นุ MikroTik สาหรบั โรงเรียน

ผมเหน็ หลาย ๆ ทา่ นถามและไดร้ บั คาตอบคนละทาง เลยสรปุ มาใหด้ งั น้คี รบั สาหรบั MikroTik
MikroTik RB1100AHx4 (RB1100x4) MikroTik RouterOS, Level6
รองรบั 300+ ผใู้ ชง้ าน รวมเน็ตได้ 8 เสน้ รองรบั เน็ต 400-1200 Mbps แหลง่ จา่ ยไฟ 2 ชุด

MikroTik RB1100AHx4 Dude Edition (RB1100Dx4) MikroTik RouterOS, Level6
ทาเป็นคอหลกั รบั เน็ตความเรว็ ระดบั 1Gb

MikroTik RB850Gx2 - 5-Port Gigabit Ethernet MikroTik RouterOS, Level5
100+ บญั ชี (สงู สดุ 500 บญั ช)ี รองรบั 70+ ผใู้ ชง้ าน รองรบั เน็ต 200-400 Mbps

MikroTik RB3011UiAS-RM MikroTik RouterOS, Level5 100+ บญั ชี (สงู สุด 500 บญั ช)ี
รองรบั 100+ ผใู้ ชง้ าน รองรบั เน็ตความเรว็ 200-400 Mbps

MikroTik RB1100AHx2 MikroTik RouterOS, Level6
รองรบั 300+ ผใู้ ชง้ าน รองรบั เน็ต 400-800 Mbps

MikroTik RB450G - 5-Port Gigabit Ethernet (MikroTik RouterOS, Level5)
รองรบั 50+ ผใู้ ชง้ าน รองรบั เน็ต 150-200 Mbps

MikroTik hEX (RB750Gr3) + USB 2.0 (MikroTik RouterOS, Level4) (All RB750 are same)
รองรบั 50+ ผใู้ ชง้ าน รองรบั เน็ต 100-150 Mbps

MikroTik hEX PoE (RB960PGS) (MikroTik RouterOS, Level4)
รองรบั 30+ ผใู้ ชง้ าน รองรบั เน็ต 100-150 Mbps

MikroTik RB2011UiAS-RM / MikroTik RB2011iL-RM รองรบั 30+ ผใู้ ชง้ าน (MikroTik
RouterOS, Level5)
รองรบั 30+ ผใู้ ชง้ าน รองรบั เน็ต 100-150 Mbps
--------------------------------------------
MikroTik CCR1009-7G-1C-1S+ (MikroTik RouterOS, Level6)
รองรบั 300+ ผใู้ ชง้ าน รองรบั เน็ต 400-1500 Mbps

MikroTik CCR1009-7G-1C-1S+PC (MikroTik RouterOS, Level6)
Passive Cooling (ไมม่ พี ดั ลม เน้นเสยี งเงยี บ)

MikroTik CCR1016-12G (MikroTik RouterOS, Level6)
รองรบั 600+ ผใู้ ชง้ าน รองรบั เน็ต 400-1500 Mbps รองรบั บญั ชผี ใู้ ชง้ าน 600+ บญั ชี

MikroTik CCR1036-12G-4S (MikroTik RouterOS, Level6)
รองรบั 900+ ผใู้ ชง้ าน รองรบั เน็ต 400-1500 Mbps รองรบั บญั ชผี ใู้ ชง้ าน 900+ บญั ชี

MikroTik CCR1072-1G-8S+ (MikroTik RouterOS, Level6)
รองรบั 1800+ ผใู้ ชง้ าน รองรบั เน็ต 10,000 Mbps (10 Gbps) รองรบั บญั ชผี ใู้ ชง้ าน 1800+ บญั ชี