Network & Security

802.1X RADIUS 2026: คู่มือ Network Access Authentication สำหรับ SME ไทย

คู่มือ 802.1X + RADIUS Authentication 2026 สำหรับ SME ไทย ครอบคลุม EAP, FreeRADIUS, NAC, Dynamic VLAN และการ Implement Enterprise WiFi/Wired ที่ปลอดภัย

AF
ADS FIT Team
·8 นาที
Share:
802.1X RADIUS 2026: คู่มือ Network Access Authentication สำหรับ SME ไทย

# 802.1X RADIUS 2026: คู่มือ Network Access Authentication สำหรับ SME ไทย

ในยุคที่พนักงาน BYOD เพิ่มขึ้นและภัยคุกคามจากผู้บุกรุกในเครือข่ายภายในรุนแรงกว่าเดิม การปล่อยให้ใครก็ได้เสียบสาย LAN หรือเชื่อม WiFi ด้วยรหัส PSK ที่หลุดง่าย ไม่ใช่ทางเลือกที่ปลอดภัยสำหรับ SME ไทยอีกต่อไป มาตรฐาน IEEE 802.1X ร่วมกับ RADIUS Server เป็นรากฐานของ Network Access Control ระดับองค์กรที่บังคับใช้ Identity-based Authentication ทุกพอร์ตและทุก SSID

ปัญหาที่หลายองค์กรเจอคือใช้ WPA2-PSK บน Office WiFi ทำให้รหัสผ่านเดียวถือครองโดยพนักงานทุกคน เมื่อมีคนลาออกก็ต้องเปลี่ยนรหัสและแจ้งใหม่ทั้งบริษัท ไม่ต่างจากการใช้กุญแจรวม ผลคือ Audit Trail แทบไม่มี และพอลูกค้า/Audit ขอดูใครเข้ามาเมื่อไหร่ก็ตอบไม่ได้

อ่านจบคุณจะเข้าใจสถาปัตยกรรม 802.1X ทั้ง Supplicant / Authenticator / Authentication Server ตัวเลือก EAP Method ที่เหมาะกับองค์กรขนาดต่างๆ และวิธี Deploy FreeRADIUS แบบ Open-Source ที่ใช้งานจริงในโปรดักชั่น

802.1X คืออะไรและทำงานอย่างไร

802.1X เป็นมาตรฐาน IEEE สำหรับ Port-Based Network Access Control ที่ทำให้พอร์ต Switch หรือ SSID ของ WiFi เปิดให้ผ่าน Traffic ได้เฉพาะหลัง Authenticate ผ่านเท่านั้น ระบบประกอบด้วยสามองค์ประกอบ

| องค์ประกอบ | หน้าที่ | ตัวอย่าง |

|------------|---------|----------|

| Supplicant | ขอเข้าใช้งาน Network | Notebook, Mobile, IoT Device |

| Authenticator | บังคับใช้นโยบายที่ Edge | Switch port, Wireless AP |

| Authentication Server | ตรวจสอบและตอบรับ/ปฏิเสธ | RADIUS Server (FreeRADIUS) |

Flow การทำงานคือ Supplicant ส่ง EAP Request ไปยัง Authenticator ซึ่ง Encapsulate เป็น RADIUS Access-Request ส่งต่อไปยัง RADIUS Server เมื่อ Server ตอบ Access-Accept พร้อม Attribute เช่น VLAN ID หรือ ACL ก็จะเปิดพอร์ตและกำหนดสิทธิ์ตามที่ระบุ

EAP Method ทั้งหมดและเลือกแบบไหน

EAP (Extensible Authentication Protocol) เป็น Wrapper ที่กำหนดวิธีตรวจสอบตัวตน แต่ละแบบมีระดับความปลอดภัยและความซับซ้อนต่างกัน

| EAP Method | ใช้ Credential | ความปลอดภัย | เหมาะกับ |

|------------|----------------|--------------|----------|

| EAP-MD5 | Password (Plain) | ต่ำ - ไม่แนะนำ | Lab เท่านั้น |

| PEAP-MSCHAPv2 | Username/Password | กลาง | Domain Joined Devices |

| EAP-TTLS | Username/Password ใน Tunnel | กลาง-สูง | Mixed Environment |

| EAP-TLS | Client Certificate | สูงสุด | Zero Trust, BYOD |

| EAP-FAST | PAC + Credentials | สูง | Cisco Heavy Network |

สำหรับ SME ที่มี Active Directory แนะนำ PEAP-MSCHAPv2 เป็น Quick Win เริ่มต้น เพราะใช้ Username/Password เดิมจาก AD ได้ทันที แต่ถ้าต้องการมาตรฐาน Zero Trust 2026 ที่แท้จริง ควรย้ายไป EAP-TLS ที่ใช้ Client Certificate ทำให้ไม่มี Password ในระบบเครือข่ายเลย ลด Risk Phishing และ MITM อย่างมีนัยสำคัญ

Step-by-Step: Deploy FreeRADIUS + 802.1X ใน 1 วัน

FreeRADIUS เป็น Open-Source RADIUS Server อันดับหนึ่งที่ใช้ในโปรดักชั่นทั่วโลก ขั้นตอนการติดตั้งระดับ POC สำหรับองค์กรขนาด 50-200 คน

  • Step 1: ติดตั้ง Ubuntu Server 24.04 LTS บน VM (4 vCPU, 8GB RAM, 50GB disk)
  • Step 2: รัน apt install freeradius freeradius-utils ระดับ Stable
  • Step 3: แก้ไข /etc/freeradius/3.0/clients.conf เพิ่ม Switch และ AP เป็น NAS Client พร้อม Shared Secret
  • Step 4: ตั้ง EAP Method ที่ต้องการใน /etc/freeradius/3.0/mods-enabled/eap (เปิด peap, tls, ttls)
  • Step 5: ผูกกับ AD/LDAP โดยแก้ /etc/freeradius/3.0/mods-enabled/ldap หรือใช้ winbind สำหรับ MSCHAPv2
  • Step 6: ติดตั้ง Server Certificate จาก Internal CA หรือ Let's Encrypt สำหรับ EAP-TLS Tunnel
  • Step 7: Config Switch (เช่น Cisco/Aruba/MikroTik) เปิด dot1x port-control auto บน Access Port
  • Step 8: ทดสอบด้วยคำสั่ง radtest username password localhost 0 testing123 และตรวจ log /var/log/freeradius/radius.log

    • Dynamic VLAN และ Network Segmentation

    หนึ่งในประโยชน์ใหญ่ของ 802.1X คือสามารถ Assign VLAN ตามตัวตนของผู้ใช้ ทำให้ Network Segmentation เกิดขึ้นโดยอัตโนมัติ

  • Employee → VLAN 10 (Corporate)
  • Contractor → VLAN 20 (Limited Access)
  • Guest → VLAN 30 (Internet only)
  • IoT Device → VLAN 40 (Isolated)
  • Failed Auth → VLAN 99 (Quarantine)

    • RADIUS Server ส่ง Tunnel-Type, Tunnel-Medium-Type และ Tunnel-Private-Group-ID เป็น Attribute กลับ ทำให้ Switch ทราบว่าต้องวางพอร์ตนี้ใน VLAN ไหน วิธีนี้ดีกว่าการแบ่ง VLAN ตาม Port แบบเดิมเพราะถ้าผู้ใช้ย้ายโต๊ะก็ยังได้ Access ตามสิทธิ์เดิม

    เปรียบเทียบ 802.1X vs MAC Authentication Bypass vs Captive Portal

    | ปัจจัย | 802.1X | MAB | Captive Portal |

    |--------|--------|-----|----------------|

    | ความปลอดภัย | สูง | ต่ำ (Spoof MAC ได้) | กลาง |

    | ใช้งานง่าย | ปานกลาง | ง่าย | ง่ายมาก |

    | รองรับ IoT | ขึ้นกับ Device | ดี | ไม่ดี |

    | Encryption | ใช่ (WPA3-Enterprise) | ไม่ | บางกรณี |

    | Audit Trail | ดี | กลาง | ดี |

    แนวทางที่ใช้จริงในองค์กรคือ Combo: 802.1X เป็นหลัก, MAB เป็น Fallback สำหรับอุปกรณ์ IoT/Printer ที่ไม่รองรับ Supplicant และ Captive Portal สำหรับ Guest WiFi

    ข้อผิดพลาดที่เจอบ่อยและวิธีแก้

    ข้อผิดพลาดอันดับหนึ่งคือไม่ติดตั้ง Server Certificate ที่ Trusted ผลคือผู้ใช้เห็น Warning Pop-up ทุกครั้งและกด Trust Anyway วิธีแก้คือใช้ Certificate จาก Internal CA ที่ Push ผ่าน GPO หรือใช้ Public CA ที่ Trusted by default

    อันดับสองคือไม่ Plan Failover เมื่อ RADIUS Server ล่มจะมีคนเข้าเครือข่ายไม่ได้ทั้งบริษัท วิธีแก้คือ Deploy 2 RADIUS Server พร้อม Replication และตั้ง Authenticator ใช้ Primary/Secondary

    อันดับสามคือไม่จำกัด NAS-Identifier ทำให้คนวาง Rogue Switch แล้วตอบ Auth ได้ วิธีแก้คือบังคับ Shared Secret ที่ Strong (≥32 chars) และเก็บใน Vault เช่น HashiCorp Vault หรือ Azure Key Vault

    สรุปและก้าวต่อไป

    802.1X + RADIUS เป็นมาตรฐานพื้นฐานของ Enterprise Network Security ปี 2026 ที่ทุก SME ควรเริ่มใช้ เริ่มจาก Phase 1 ใช้ PEAP-MSCHAPv2 บน WiFi เพื่อแทน WPA2-PSK ก่อน แล้วค่อยขยายเป็น Phase 2 ครอบคลุม Wired Port และเป้าหมาย Phase 3 คือย้ายไป EAP-TLS เพื่อบรรลุ Zero Trust

    ทีม ADS FIT มีประสบการณ์ออกแบบและติดตั้ง FreeRADIUS, NAC และ Network Segmentation สำหรับองค์กรไทย พร้อมให้คำปรึกษาและบริการ Implementation อ่านบทความ Network & Security เพิ่มเติมบนหน้าบล็อก

    Tags

    #802.1X#RADIUS#FreeRADIUS#NAC#Port Security#Enterprise WiFi

    สนใจโซลูชันนี้?

    ปรึกษาทีม ADS FIT ฟรี เราพร้อมออกแบบระบบที่ฟิตกับธุรกิจของคุณ

    ติดต่อเรา →

    บทความที่เกี่ยวข้อง

    🌐

    GoAccess 2026: Real-Time Web Log Analyzer Open-Source สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    Multicast IP Networking 2026: คู่มือ IGMP PIM Routing สำหรับ SME ไทย

    7 พฤษภาคม 2569 · 8 นาที
    🌐

    EMQX vs Mosquitto 2026: คู่มือเลือก MQTT Broker สำหรับระบบ IoT SME ไทย

    7 พฤษภาคม 2569 · 9 นาที