MultiSSID trên RADIUS Server

Tiếp nối chuỗi bài về chứng thực 802.1x của Anh Nguyễn Văn Tài thì hôm nay mình cũng xin viết bài chia sẻ về một tính năng rất hay của RADIUS trên Window Server 2012. Tính năng Multi SSID, tính năng này có thể ứng dụng được ở các doanh nghiệp vừa và nhỏ để quản lý control hệ thống wifi của doanh nghiệp chưa đủ kinh phí để đầu tư Wifi Controller khá đắt tiền.

Tham khảo bài Cấu hình 802.1x trên RADIUS server rất chi tiết của anh Nguyễn Văn Tài:

Part1

Part2

1. Giới thiệu về tính năng Multi SSID.

2. Lợi ích của triễn khai tính năng Multi SSID.

3. Các bước tiến hành cấu hình tính năng Multi SSID trên RADIUS Server

4. Demo test thử nghiệm tính năng Multi SSID

1. Giới thiệu về tính năng MultiSSID

Nguyên tắc hoạt động của tính năng Multi SSID:

Dựa vào cách xác thực Client users của RADIUS Server, lúc này RADIUS Server sẻ dựa vào thông số “Called Station ID” để phân biệt các Access Point và chúng ta có thể tiến hành phân quyền truy cập dựa trên các SSID này.
Ví dụ: Chúng ta có 3 SSID từ 3 APs có các SSID’s name lần lượt là “Wifi-BGD”, “Wifi-NhanVien” và “Wifi-Guests” đại diện cho các Users thuộc các phòng ban này. Khi ta tiến hành triễn khai tính năng Multi SSID, ta có thể phân quyền Users thuộc phòng ban Nhân viên mới có thể truy cập vào “Wifi-NhanVien” tương tự với các Users thuộc các phòng ban khác. Các Users thuộc các phòng ban khác sẻ không truy cập vào được “Wifi-NhanVien” vì RADIUS Server sẻ quản lý được nhiều SSID dựa vào thông số “Called Station ID” trên mỗi APs và Group User Database trên AD của Server. Còn đối với khách vãng lai thì chúng ta có thể tạo 5 – 10 account dành cho Guests và cấp chúng cho lễ tân, chính sách có thể thay đổi passwd 1 tháng hay 2 tháng một lần.
Để thực hiện được tính năng Multi SSID thì trước tiên chúng ta phải cấu hình thành công chứng thực 802.1x trên RADIUS Server trước.

2. Lợi ích của triễn khai tính năng MultiSSID

Giải pháp Multi SSID này rất phù hợp với các doanh nghiệp vừa và nhỏ, chứng thực APs và phân quyền được các Users, ta có thể dễ dàng quản lý Users truy cập mạng Wifi của doanh nghiệp, đặt biệt có thể tối ưu hóa được kinh phí đầu tư cho Wifi Controller. Ở đây chúng ta cũng có thể controller được users sử dụng Wifi.
Tận dụng được tài nguyên Server doanh nghiệp. Vừa có thể tăng tính Security về Wireless cơ bản vừa có thể tận dụng được tài nguyên sẳn có ở công ty(Window Server 2012). Một giải pháp tiết kiệm chi phí, đơn giản và giá rẻ hiệu quả.

3. Các bước tiến hành cấu hình tính năng Multi SSID trên RADIUS Server

Các bạn lưu ý là trước khi cấu hình Multi SSID thì phải cấu hình thành công chứng thực 802.1x trước.

Bước 1: Thực hiện cấu hình RADIUS Client chứng thực DOT1x:

Tạo Group Wifi-ITFORVN và add users vào để test tính năng xác thực DOT1X
Figure2. Tạo Users sử dụng Wifi-Dot1x

Figure3. Add users vào Group
Cấu hình RADIUS client

Figure4. Cấu hình RADIUS Client trên NPS bước 1

Figure5. Cấu hình RADIUS Client trên NPS bước 2

Figure6. Cấu hình RADIUS Client trên NPS bước 3

Figure6. Cấu hình RADIUS Client trên NPS bước 4

Figure6. Cấu hình RADIUS Client trên NPS bước 5

Figure6. Cấu hình RADIUS Client trên NPS bước 6

Figure7. Cấu hình RADIUS Client trên NPS

Cấu hình trên các Access Point

Figure8. Cấu hình Dot1x trên các Access Point

Truy cập Wifi-ITFORVN được chứng thực bằng DOT1x

Figure9. Login Wifi-ITFORVN bằng phương thức chứng thực DOT1x

Bước 2: Đầu tiên ta sẻ tiến hành Access mạng Wifi, sau đó vào “Event Viewer” để xác định được thông số “Called Station ID” của thiết bị AP. Còn thông số “Calling Station ID” chính là địa chỉ MAC của thiết bị truy cập AP

Thông số "Called Station ID" của tính năng MultiSSID — Figure11. Thông số “Called Station ID” của tính năng MultiSSID

Một Case nho nhỏ dành cho anh em ở bước này. Một số dòng Access point sẻ hỗ trợ ta thêm tên SSID đằng sau của thông số Called Station ID dạng Called Station ID:SSID’s name. Khi đó các bạn chỉ cần add “Called Station ID” là tên SSID thì tính năng Multi SSID vẫn hoạt động bình thường.

Called Station ID có đính kèm SSID's name — Called Station ID có đính kèm SSID’s name

Bước 3: Sau khi có thông số “Called Station ID” ta tiếp tục và NAP -> Network Policy Server -> Network Policies, sau đó tiến hành cấu hình cho các Policy cho các group users Wifi

Chọn các Policy name cần Add thông số “Called Station ID”

Cấu hình thông số "Called Station ID" — Figure13. Cấu hình thông số “Called Station ID”

Figure14. Add Các thông số của tính năng MultiSSID

Sau khi ADD thông số “Called Station ID” 12 ký tự mã Hecxa.

Chú ý : Các anh em lưu ý coi chừng nhằm giữa “Called Station ID” và “Calling Station ID” thì sẻ không chạy đâu nha ? !!!

Bước 4: Tiến hành restart lại NPS ( Network Policy Server) là có thể chiến được rồi

Sau đó bấm vào Start
Lưu ý cần bấm 2 lần để restart NPS

4. Demo test thử nghiệm tính năng Multi SSID

Users thuộc Group Nhân Viên sẻ chỉ vào được Wifi-NhanVien mà không vào được “Wifi-PGD”. Tuy nhiên ta có thể Add User của Gđốc có thể vào được toàn bộ các SSID.

Video Demo tham khảo:

Vài bước chia sẻ về “Tính năng MultiSSID trên RADIUS Server” của mình xin tạm dừng tại đây. Rất mong được sự ủng hộ của các anh em gần xa để bài viết được ngày một chất lượng hơn. Hãy theo dõi bài viết tiếp theo tại website và blog itforvn.vcode.ovh nhé. Nếu có thắc mắc hay đóng góp các Anh em hãy comment bên dưới nhé! Thân ái!

Tác giả: Quân Lê – ITFORVN.COM

Bạn có thể tương tác và cập nhật thông tin mới nhất của Nhóm Facebook ITFORVN, Các khóa học mới do group tổ chức tại «Portal»

Đánh giá post

Nguyễn Lê Quân

Tính năng MultiSSID trên RADIUS Server