Sử dụng VLAN tĩnh và động với IgniteNet AP’s

VLAN là gì? 

VLAN (mạng ảo) là một miền phát sóng riêng được sử dụng để đồng xác định nhiều mạng lôgíc trên cùng một mạng vật lý. Quản trị viên mạng sử dụng VLAN để dễ dàng tách các mạng chia sẻ cùng một giao diện vật lý. Có rất nhiều ứng dụng hữu ích của VLAN trên mạng có dây và không dây nhưng đối với ví dụ này, chúng ta sẽ tập trung vào cách ly không dây / khách hàng sử dụng cả VLAN tĩnh và động trong một ứng dụng khuôn viên trường học lý thuyết.

Xin lưu ý: Tất cả các ví dụ cấu hình dưới đây được thực hiện thông qua giao diện thiết bị cục bộ. Bạn cũng có thể tạo các cấu hình này thông qua bộ điều khiển đám mây. Đây là những cấu hình ví dụ chung và không được coi là các phương pháp hay nhất cho bất kỳ ứng dụng thiết kế mạng cụ thể nào. Bất kỳ VLAN, máy chủ RADIUS, ủy nhiệm người dùng, vv phải được hỗ trợ trong phần còn lại của cơ sở hạ tầng mạng và vượt quá phạm vi của cuộc hội thoại này. 

VLAN tĩnh

VLAN tĩnh là một VLAN được gắn cố định vào một giao diện mạng cụ thể, trong trường hợp này là một AP SSID không dây. Sử dụng gắn thẻ VLAN, chúng tôi sẽ tạo SSID cho sinh viên và nhân viên và gán chúng cho các VLAN khác nhau. Khi một sinh viên hoặc nhân viên liên kết với SSID phù hợp, lưu lượng truy cập của họ sẽ được gắn thẻ với ID VLAN tương ứng và cung cấp các IP / routing / resources thích hợp từ router thượng lưu. 

Bước đầu tiên là tạo các VLAN sẽ được sử dụng để gắn thẻ vào SSID trên trang Wireless -> VLAN Settings. Trong ví dụ này, VLAN 40 dành cho Students và VLAN 50 dành cho Staff.  

Bước thứ hai là tạo ra SSID tương ứng, một cho Students và một cho Staff, trên trang Wireless -> Radio.  Để thực hiện thẻ VLAN, hãy thiết lập trường Behavior Network để “VLAN Tag Traffic” và thiết lập VLAN ID cho một thẻ thích hợp.   Ví dụ dưới đây là cấu hình cho SSID của Sinh viên.

Và đó là về cơ bản tất cả những điều đó.   Khi Sinh viên liên kết với SSID Sinh viên, lưu lượng truy cập của họ sẽ được gắn thẻ với VLAN ID 40 và đưa vào VLAN đó.

VLAN động

Trong ví dụ trên, mỗi người dùng đăng nhập vào một SSID cụ thể sẽ được cấp cùng một VLAN ID và tài nguyên mạng như bất cứ ai khác trên SSID đó. Tuy nhiên, điều gì sẽ xảy ra nếu chúng ta muốn kiểm soát chi tiết hơn các tài nguyên mạng được phân bổ cho từng người dùng? Trong trường hợp này, chúng ta có thể sử dụng các VLAN động kết hợp với xác thực 802.1X Enterprise để gán VLAN cá nhân cho người dùng khi họ xác thực. Bằng cách làm như vậy, mỗi người dùng sau đó có thể được truy cập đến như là ít hoặc nhiều tài nguyên mà quản trị viên mạng thấy cần thiết. Điều này cũng có nghĩa là người dùng có thể truy cập vào các thiết bị ngoại vi cụ thể ở bất cứ đâu trên mạng (được giải thích chi tiết hơn trong phần tiếp theo).

Để cấu hình các VLAN động, hãy giả sử đã tồn tại cơ chế xác thực Enterprise WPA / WPA2 802.1x (máy chủ RADIUS) trên mạng có tất cả các tài khoản người dùng tại chỗ. Máy chủ này cần phải được cấu hình để cho phép các VLAN động được sử dụng. Bạn có thể thiết lập nó để phát một VLAN cụ thể cho bất cứ ai trong một nhóm cụ thể, người dùng cá nhân, v.v.     

Chúng tôi đã thử nghiệm với các máy chủ RADIUS của FreeRADIUS và Microsoft Server 2003/2012-R2. Hầu hết các máy chủ RADIUS thực hiện theo RFC khá chặt chẽ, do đó, mặc dù các cấu hình riêng lẻ có thể khác nhau, AP sẽ tìm các thuộc tính VLAN RADIUS động dưới đây từ máy chủ cho người dùng: 

Tunnel-Type = “VLAN”
Tunnel-Medium-Type = “IEEE-802”
Tunnel-Private-Group-ID = “X”, trong đó X là ID VLAN mong muốn cho nhóm / người dùng

Nếu bạn đang sử dụng máy chủ mà không có các giá trị định nghĩa ở trên và đang sử dụng các giá trị số RFC, hãy sử dụng:

Tunnel-Type = 13
Tunnel-Medium-Type = 6
Tunnel-Private-Group-ID = “X”, trong đó X là ID VLAN mong muốn cho nhóm / người dùng

Từ góc độ cấu hình AP, tất cả những gì cần phải làm là thiết lập SSID cho xác thực WPA-EAP, nhập thông tin máy chủ xác thực RADIUS và đặt Hành vi Mạng thành “Dynamic VLAN”. 

Trong ví dụ trên, SSID Staff được cấu hình để xác thực người dùng chống lại máy chủ xác thực RADIUS lúc 10.10.10.15.   Khi người dùng Staff được xác thực, họ sẽ nhận được VLAN ID được chỉ định từ hồ sơ RADIUS của họ và sẽ có quyền truy cập vào các tài nguyên tương ứng. 

Xác thực MAC RADIUS trên thiết bị ngoại vi với các VLAN động

Trong quá trình thực hiện trên, một nhân viên xác thực vào mạng và nhận được một VLAN ID cụ thể. Để thảo luận, giả sử cô ấy tên là Susan và cô ấy làm việc trong khoa Vật lý như là một sinh viên tốt nghiệp TA.Cô và tất cả các sinh viên tốt nghiệp của Bộ môn Vật lý khác đều có quyền truy cập vào cùng một máy in mạng trong tầng hầm của tòa nhà Vật lý. Sử dụng chứng thực RADIUS và các VLAN động, tất cả nhân viên của phòng Vật lý thuộc nhóm cùng một nhóm người dùng được gán cho VLAN ID 1045. Nếu máy in mạng của họ được nối vào mạng (qua cáp Ethernet đến bộ chuyển đổi có thẻ VLAN ID 1045), Susan và tất cả các TA khác sẽ có cùng một VLAN ID với máy in và có thể in tới máy in này từ bất cứ nơi nào trên mạng không dây trong suốt khuôn viên trường.

Bây giờ hãy xem xét các trường hợp có một ngoại vi di động được chia sẻ giữa các khác của TA, ví dụ một Ethernet / wifi cho phép kiểm tra mét trên điện thoại di động  công cụ  nền tảng.  Chỉ có Susan và các nhân viên hỗ trợ kỹ thuật khác mới có quyền truy cập vào thiết bị này từ máy tính của họ. Khi thiết bị này là điện thoại di động, cắm vào các cổng Ethernet trên toàn bộ tòa nhà và phải cấu hình mỗi cổng Ethernet cho VLAN cụ thể của họ là tẻ nhạt, do đó, cần phải có một cách để có nó đăng nhập vào mạng wifi và có nó xác thực chống lại RADIUS Cơ sở dữ liệu. Tuy nhiên, như với nhiều thiết bị ngoại vi có cấu hình mạng đơn giản, máy đo này chỉ có WPA-PSK để bảo mật chứ không phải WPA-EAP. Làm thế nào bạn có thể chứng thực thiết bị này đối với RADIUS bây giờ?     

Để thực hiện việc này, bạn có thể sử dụng xác thực RADIUS MAC. Bạn cho biết thiết bị kết nối với SSID được cấu hình để xác thực RADIUS MAC và AP gửi MAC của thiết bị đến máy chủ RADIUS để xác thực. Máy chủ xác minh MAC là một người dùng hợp lệ, và sau đó trả lời cho AP với VLAN ID động và các tài nguyên khác cho thiết bị. Trong trường hợp của chúng tôi, khi điều này được thực hiện với đồng hồ đo kiểm, Susan và các kỹ thuật viên hỗ trợ khác sẽ có thể truy cập đồng hồ từ bất cứ nơi nào trên mạng wifi.       

Trên máy chủ RADIUS, thiết bị ngoại vi cần được cấu hình như một người dùng trong cơ sở dữ liệu với các nguồn chính xác. Cả ID người dùng và mật khẩu sẽ cần phải được đặt là MAC wifi của thiết bị mà không có dấu cách / dấu gạch ngang / dấu hai chấm.   

Trên AP, đặt SSID và bật tùy chọn RADIUS MAC Auth. Nhập thông tin máy chủ RADIUS và đặt Hành vi Mạng thành “Dynamic VLAN”. 

Trong ví dụ trên, bạn sẽ cấu hình một người sử dụng RADIUS cho đồng hồ kiểm tra với tên người dùng / mật khẩu của địa chỉ MAC wifi đo kiểm và gán nó cho nhóm TA của nhóm Vật lý với nhóm VLAN ID tương ứng là 1045.   Sau đó kết hợp đồng hồ đo kiểm Đến SSID Thiết bị ngoại vi. Một khi nó liên kết và kéo VLAN ID của 1045, Susan và các TA khác sẽ có thể tiếp cận nó từ bất cứ nơi nào trên mạng wifi.

Một ví dụ khác về việc sử dụng các VLAN động và xác thực RADIUS MAC là trường hợp quản lý mạng wifi cộng đồng trong một khu chung cư, nơi AP được đặt trong các khu vực chung như hành lang và chia sẻ giữa các cư dân.   Một máy chủ RADIUS có thể được sử dụng để cung cấp cho mỗi cư dân thông tin đăng nhập của họ, và các nhóm có thể được tạo ra trong đó tất cả cư dân trong mỗi căn hộ và các thiết bị ngoại vi tương ứng của họ (máy in, TV thông minh, Roku’s, vv) được đặt trong cùng một nhóm và có cùng một VLAN ID.   Với cấu hình này, cư dân trong một căn hộ cụ thể được tách thành các mạng hợp lý khác nhau từ các cư dân khác, và họ có thể truy cập vào máy in và các thiết bị ngoại vi khác từ bất kỳ AP họ được kết nối trên mạng.

Phần kết luận

Sử dụng các VLAN tĩnh và động với nền tảng IgniteNet cho phép quản trị viên mạng kiểm soát tài nguyên và kiểm soát tài nguyên một cách linh hoạt với việc quản lý người dùng trên các mạng Wifi. Triển khai có thể được cấu hình khi cần cho nhiều loại và kiểu triển khai cho dù quản trị viên mạng là thành viên của khoa CNTT của trường, một nhà tích hợp hệ thống cài đặt một mạng văn phòng cho một doanh nghiệp hay một nhà cung cấp dịch vụ được quản lý cung cấp mạng wifi cho cả cộng đồng Cho một khu chung cư. Kết hợp với nền tảng quản lý đám mây dễ sử dụng và hiệu quả chi phí, Ignite cung cấp cho bất kỳ quản trị viên mạng nào các công cụ cần thiết để dễ dàng và có thể triển khai mạng wifi của họ.

https://ignitenet.uservoice.com/knowledgebase/articles/795351-using-static-and-dynamic-vlans-with-ignitenet-ap-s