วิธีตั้งค่า VLAN สำหรับออฟฟิศขนาดเล็ก Step-by-Step

วิธีตั้งค่า VLAN สำหรับออฟฟิศขนาดเล็ก Step-by-Step

หลายคนได้ยินคำว่า VLAN แล้วคิดว่าเป็นเรื่องของ Data Center หรือบริษัทใหญ่เท่านั้น แต่จริง ๆ แล้ว ออฟฟิศขนาดเล็กที่มีพนักงาน 10-50 คนก็ได้ประโยชน์จาก VLAN มาก ทั้งเรื่อง Security และ Network Performance บทความนี้จะพาตั้งค่าแบบ Step-by-Step ให้เข้าใจได้จริง

VLAN คืออะไร และทำไมออฟฟิศถึงต้องใช้

VLAN หรือ Virtual Local Area Network คือการแบ่ง Network จริงออกเป็นกลุ่มย่อยเสมือนหลาย ๆ กลุ่มบน Hardware เดียวกัน อุปกรณ์ที่อยู่ใน VLAN ต่างกันจะไม่สามารถคุยกันได้โดยตรง ต้องผ่าน Router หรือ Layer 3 Switch เท่านั้น

ออฟฟิศขนาดเล็กใช้ VLAN เพื่อหลายอย่าง เช่น แยกเน็ตเวิร์กพนักงานออกจาก Guest Wi-Fi, แยก Server Network ออกจาก User Network, แยก VoIP Phone ออกมาเพื่อ QoS ที่ดีขึ้น, หรือแยก CCTV ออกต่างหากเพื่อ Bandwidth Management

อุปกรณ์ที่ต้องการสำหรับการตั้งค่า VLAN

ก่อนเริ่มต้องมีอุปกรณ์ที่รองรับ VLAN ดังนี้

Managed Switch

Switch ทั่วไปที่ซื้อตามร้านคอมราคาถูกมักเป็น Unmanaged Switch ซึ่งทำ VLAN ไม่ได้ ต้องใช้ Managed Switch ที่รองรับ IEEE 802.1Q VLAN ยี่ห้อที่นิยมในออฟฟิศขนาดเล็กได้แก่ TP-Link TL-SG2xxx Series, Netgear GS3xx Series, Cisco Catalyst 1xxx, และ MikroTik CSS หรือ CRS Series

Router หรือ Firewall ที่รองรับ VLAN

ต้องการ Router ที่สามารถทำ Inter-VLAN Routing ได้ หรือจะใช้ Layer 3 Switch ทำหน้าที่นี้ก็ได้ ตัวเลือกยอดนิยมได้แก่ MikroTik hEX, Ubiquiti UniFi Security Gateway, Cisco RV340, หรือ pfSense/OPNsense บน Mini PC

Access Point ที่รองรับ Multiple SSID + VLAN Tagging

ถ้าต้องการแยก Wi-Fi Guest ออกจาก Wi-Fi พนักงาน AP ต้องรองรับการ Map SSID ไปยัง VLAN ได้ AP ในระดับ Business ส่วนใหญ่ทำได้ เช่น Ubiquiti UniFi, MikroTik, Aruba Instant On

วางแผน VLAN ก่อนเริ่มตั้งค่า

ขั้นตอนแรกที่สำคัญที่สุดคือวางแผน ไม่ใช่เปิด Switch แล้วตั้งค่าเลย เพราะถ้าวางแผนผิดจะแก้ยาก

ตัวอย่าง VLAN Design สำหรับออฟฟิศ 20 คน

• VLAN 10 – Management: 192.168.10.0/24 สำหรับจัดการอุปกรณ์เน็ตเวิร์ก (Switch, AP, Printer)
• VLAN 20 – Staff: 192.168.20.0/24 สำหรับเครื่องคอมพิวเตอร์พนักงาน
• VLAN 30 – Servers: 192.168.30.0/24 สำหรับ Server, NAS, และ Printer คุณภาพสูง
• VLAN 40 – Guest: 192.168.40.0/24 สำหรับ Wi-Fi แขกและอุปกรณ์ส่วนตัว
• VLAN 50 – VoIP: 192.168.50.0/24 สำหรับโทรศัพท์ IP
• VLAN 60 – CCTV: 192.168.60.0/24 สำหรับกล้องวงจรปิด

Step 1: ตั้งค่า VLAN บน Managed Switch

ในตัวอย่างนี้จะใช้ TP-Link TL-SG2210P เป็นตัวอย่าง แต่หลักการเดียวกันกับ Switch ยี่ห้ออื่น

เข้าหน้า Admin Web Interface

เชื่อมต่อคอมกับ Switch โดยตรง เปิด Browser แล้วเข้า 192.168.0.1 (หรือ IP Default ของรุ่นนั้น ๆ) ล็อกอินด้วย admin/admin หรือตามที่ติดอยู่ที่ตัว Switch

สร้าง VLAN

ไปที่ L2 Features > VLAN > 802.1Q VLAN กด “Add” แล้วสร้าง VLAN ทีละตัวตามแผนที่วางไว้ เช่น VLAN ID 10, Name: Management ทำซ้ำสำหรับ VLAN 20, 30, 40, 50, 60

กำหนด Port เป็น Access หรือ Trunk

Port ที่เชื่อมต่อกับ End Device เช่น คอมพิวเตอร์หรือโทรศัพท์ ให้ตั้งเป็น Access Port และกำหนด PVID ให้ตรงกับ VLAN ที่ต้องการ Port ที่เชื่อมต่อกับ Router หรือ Switch ตัวอื่น ให้ตั้งเป็น Trunk Port ที่ยอมรับ Tagged Traffic จากทุก VLAN

Step 2: ตั้งค่า VLAN บน Router / Firewall

ในตัวอย่างจะใช้ MikroTik RouterOS ซึ่งนิยมมากสำหรับออฟฟิศขนาดเล็กเพราะราคาไม่แพงและยืดหยุ่นสูง

สร้าง VLAN Interface บน MikroTik

เข้า Winbox > Interfaces > Add > VLAN กรอก VLAN ID และเลือก Interface หลักที่ต่อเข้า Switch ทำซ้ำสำหรับแต่ละ VLAN สร้างชื่อ Interface ให้ชัดเจน เช่น vlan10-mgmt, vlan20-staff, vlan30-server

กำหนด IP Address ให้แต่ละ VLAN Interface

ไปที่ IP > Addresses > Add กำหนด IP ให้ VLAN Interface แต่ละตัว ตัวเลข .1 มักใช้เป็น Gateway เช่น vlan20-staff ใช้ 192.168.20.1/24

ตั้งค่า DHCP Server สำหรับแต่ละ VLAN

ไปที่ IP > DHCP Server > Add สร้าง DHCP Server ผูกกับแต่ละ VLAN Interface กำหนด Address Pool ให้เหมาะสม เช่น VLAN 20 ใช้ 192.168.20.10-192.168.20.200 และกำหนด DNS ให้ด้วย

Step 3: ตั้งค่า Firewall Rules ระหว่าง VLAN

นี่คือขั้นตอนที่สำคัญที่สุดสำหรับ Security เพราะถ้าไม่ตั้ง Firewall อุปกรณ์ใน VLAN ต่าง ๆ ก็ยังคุยกันได้ผ่าน Router

หลักการ Default Deny

ตั้งค่าให้ Traffic ข้าม VLAN ถูก Deny ทั้งหมดโดย Default แล้วค่อย Allow เฉพาะที่จำเป็น เช่น

• VLAN Guest ไม่ให้เข้าถึง VLAN Staff และ VLAN Server เลย
• VLAN Staff เข้าถึง VLAN Server ได้บาง Port เช่น Port 80, 443, 445 (File Share)
• VLAN CCTV ไม่ให้เข้าถึง VLAN ใดเลยนอกจาก Internet
• VLAN Management เข้าถึงได้เฉพาะ Admin คนเดียว

ตัวอย่าง Firewall Rule บน MikroTik

ใน IP > Firewall > Filter Rules สร้าง Rule แบบนี้ เพื่อ Block Guest เข้า Staff Network

Chain: forward
Src Address: 192.168.40.0/24
Dst Address: 192.168.20.0/24
Action: drop

ทำซ้ำสำหรับทุก Combination ที่ต้อง Block

Step 4: ตั้งค่า Wi-Fi VLAN บน Access Point

สำหรับ Ubiquiti UniFi ซึ่งเป็นที่นิยม ให้ทำดังนี้

สร้าง Wireless Network ใหม่

เข้า UniFi Controller > Networks > Add Network สร้าง Network สำหรับ Guest โดยเลือก VLAN ID เป็น 40 และ Network Name เป็น “Guest” จากนั้นสร้าง Wireless Network ใหม่ผูกกับ Network นี้ ตั้งชื่อ SSID ว่า “Office-Guest” และใส่รหัสผ่าน

ทำแบบเดียวกันสำหรับ SSID พนักงาน แต่ผูกกับ VLAN 20 แทน

Step 5: ทดสอบและ Monitor

หลังตั้งค่าเสร็จแล้วต้องทดสอบให้ครบ

• เชื่อมต่อ Wi-Fi Guest แล้วลอง Ping ไปยัง 192.168.20.x ต้องไม่ได้
• เชื่อมต่อ Wi-Fi Staff แล้วลองเข้า Server ต้องได้
• ตรวจสอบว่าแต่ละ Device ได้ IP ถูก Subnet
• ทดสอบ Internet Access จากทุก VLAN ต้องใช้ได้

สำหรับการ Monitor เน็ตเวิร์กหลังจากตั้งค่า VLAN แล้ว แนะนำให้ใช้ Tools อย่าง Zabbix หรือ PRTG เพื่อ Track Traffic แต่ละ VLAN ดูรายละเอียดได้ที่ คู่มือ Network Monitoring ด้วย Zabbix และ PRTG

ปัญหาที่มักเจอและวิธีแก้

ปัญหา: ได้ IP ผิด VLAN

ตรวจสอบ PVID ของ Port บน Switch ว่าตรงกับ VLAN ที่ต้องการหรือยัง และตรวจสอบ DHCP Server ว่า Bind กับ Interface ถูกต้องหรือเปล่า

ปัญหา: ข้ามไป VLAN อื่นได้ทั้ง ๆ ที่ตั้ง Firewall แล้ว

ตรวจสอบลำดับ Rule ใน Firewall เพราะ Firewall หลายตัวประมวลผล Rule จากบนลงล่าง ถ้า Allow Rule อยู่ก่อน Deny Rule ก็จะ Allow ได้

ปัญหา: VLAN ใช้งานได้ แต่ Trunk Port ไม่ส่ง Traffic บาง VLAN

ตรวจสอบว่า Trunk Port ที่ Switch เปิดรับ Tagged Traffic ของทุก VLAN ที่ต้องการแล้วหรือยัง บางรุ่นต้องเพิ่ม VLAN ใน Allowed VLAN List ของ Trunk Port ด้วย

ดูข้อมูลเพิ่มเติมเกี่ยวกับ Cybersecurity สำหรับ Office ได้ที่ Cybersecurity สำหรับ SME 2026 และถ้าต้องการ Scale ระบบขึ้นไปใช้ Container สำหรับ Application ต่าง ๆ ดูได้ที่ คู่มือ Kubernetes สำหรับ Enterprise

อ้างอิงมาตรฐาน VLAN เพิ่มเติมจาก Cisco VLAN Configuration Guide ซึ่งอธิบาย Best Practice ในระดับ Enterprise ได้ชัดเจน

อ่านบทความที่เกี่ยวข้อง: อ่านรีวิวเพิ่มเติมที่ Siam2R

คำถามที่พบบ่อย (FAQ)

ออฟฟิศ 5 คน ต้องทำ VLAN ไหม?

ถ้ามีแค่พนักงาน 5 คนและไม่มี Server แยกหรือ Guest Wi-Fi VLAN อาจไม่จำเป็น แต่ถ้ามี Guest Wi-Fi หรือ CCTV การแยก VLAN ก็ยังดีอยู่ เพราะป้องกันไม่ให้แขกหรือกล้องเข้าถึงข้อมูลบริษัทได้

Unmanaged Switch ทำ VLAN ได้ไหม?

ไม่ได้ครับ ต้องใช้ Managed Switch เท่านั้น Unmanaged Switch จะส่งต่อ Traffic ทุกอย่างโดยไม่สนใจ VLAN Tag ทำให้ VLAN ไม่ทำงานตามที่ต้องการ

VLAN ช่วยเรื่อง Network Speed ได้ไหม?

VLAN ช่วยลด Broadcast Domain ซึ่งอาจช่วย Network ทำงานได้ดีขึ้นในองค์กรที่มีอุปกรณ์เยอะ แต่ไม่ได้เพิ่ม Bandwidth จริง ๆ ประโยชน์หลักของ VLAN คือ Security และ Network Segmentation มากกว่า Performance

จำเป็นต้องมี Layer 3 Switch ไหม หรือแค่ Router พอ?

ถ้าปริมาณ Traffic ข้าม VLAN ไม่มากนัก Router ธรรมดาก็พอ แต่ถ้ามี Server ที่ User เข้าถึงบ่อยมากและต้อง Route Traffic เยอะ Layer 3 Switch จะทำ Inter-VLAN Routing ได้เร็วกว่าเพราะทำได้ใน Hardware

VLAN กับ VPN ต่างกันยังไง?

VLAN แบ่ง Network ภายใน Site เดียวกัน ส่วน VPN เชื่อมต่อ Network ต่าง Site หรือให้ Remote User เข้าถึง Network ภายในจากข้างนอก ทั้งสองทำงานคนละระดับและมักใช้ร่วมกัน เช่น มี VLAN แบ่งใน Office แล้วมี VPN สำหรับ Work from Home

บทความที่เกี่ยวข้อง: siamlancard.com | Network Monitoring Guide | Cybersecurity SME 2026

ลิงก์ที่เกี่ยวข้อง: icafeforex | siamlancard | icafecloud | siamcafe | xmsignal