kiến thức Tạo VLAN trên Mikrotik và chia mạng Wifi với Aruba
- Thread starter kim___long
- Start date
legiau1983
Junior Member
mình cũng tạo vlan10, vlan20, vlan30 trên switch s1500 aruba, và chỉ định vlan trên wifi mà mỗi tội tên wifi vlan 10 chạy ok. còn vlan20 và vlan30 thiết bị không kết nối được wifi
legiau1983
Junior Member
router mikrotik mình tạo vlan10-20-30 cho cấp IP như post 1, switch s1500 mình cũng tạo vlan như trên router và đã trunk port cắm vào từ mik và port out ra aruba. và tạo 3 tên wifi trên aruba tag theo từng vlan. mà chỉ mỗi vlan10 nó cấp chuẩn IP. còn 2 vlan kia thiết bị không kết nối được.
Attachments
CGGX_ANNX
Senior Member
Trên router MikroTik bác mở Terminal ra chạy hai lệnh
Code:
/interface vlan export
/interface bridge exportRồi paste kết quả vào đây được không ạ?
legiau1983
Junior Member
sau khi interface vlan như bác hd thì ngó lại thấy mình cấu hình vlan 20-30 chưa chọn đúng port. thanks bác nhiều!!!
Attachments
CGGX_ANNX
Senior Member
Tiện chủ đề router MikroTik + AP + VLAN này: nếu có nhiều VLAN mà các bác không muốn spam quá nhiều access point, thì có thể nghĩ đến phương án dùng WPA(2/3) Enterprise. Khi đó quản lý login vào WiFi bằng tài khoản RADIUS. VLAN ID tự chọn cho từng tài khoản được, trong khi chỉ cần đúng 1 SSID duy nhất. Có thể tạo tài khoản cho từng thiết bị, giới hạn 1 tài khoản chỉ cùng lúc login vào bằng 1 thiết bị (như thế các con các bác nó muốn share nhau login wifi cũng không được), giới hạn ngày giờ login theo tài khoản, hay tài khoản guest có thể tạo nhiều cái on-demand hay cho nó đổi pass tự động hàng ngày (script trên router MikroTik), v.v...
Tóm lại là cuối cùng chỉ cần 1 cái SSID cho các thiết bị ngu (kiểu IoT) không hỗ trợ WPA2/3 Enterprise, với 1 cái SSID chung cho tất cả mọi thứ là đủ. RADIUS server trên RouterOS đã sẵn có 1 cái, các bác cái package User Manager User Manager - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/User+Manager) vào, bật lên, có thể dùng Let's Encrypt tạo thêm certificate cho an toàn (RouterOS hỗ trợ Certificates - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Certificates#Certificates-Let'sEncryptcertificates))
Phần Routers tạo cho mỗi access point 1 entry, địa chỉ IP của access point và shared secret sẽ dùng lúc cấu hình trên AP:
Sang phần Users tạo login.
Chỗ Shared Users tăng lên nếu muốn nhiều thiết bị đồng thời dùng được chung 1 login. Quan trọng cho vấn đề VLAN ở đây là phần Attributes. Em dùng access point UniFi thì cần các attributes như trên, với cái VLAN ID 60 như trong hình đi theo Attribute Tunnel-Private-Group-ID. Các bác dùng Aruba thì tham khảo bảng RADIUS Server VSAs ở trang này:
Các bác có hai lựa chọn với Aruba, hoặc là dùng attribute Aruba-User-Vlan, gán VLAN ID vào đây, hoặc dùng Aruba-Named-User-Vlan rồi gán tên VLAN cho từng users, rồi cấu hình trên Aruba cho tên VLAN nào ứng với VLAN ID nào. Để tạo các vendor attributes riêng của Aruba này, các bác vào bảng Attributes và tạo:
Vendor ID cho Aruba là 14823, Type ID và Value Type các bác tham khảo ở bảng trang Aruba kia (Aruba-User-Vlan Type ID 2, Value Type uint32; Aruba-Named-User-Vlan Type ID 9, Value Type: string).
EDIT: có vẻ Aruba cũng hỗ trợ mấy attribute Tunnel chuẩn kia, các bác thử xem có được không nếu được không cần VSA của Aruba: https://www.arubanetworks.com/techd...Network_Parameters/About_VLAN_Assignments.htm
Dòng Omada/EAP của TP-Link cũng dùng attributes như UniFi Configuration Guide on Dynamic VLAN with the VLAN Assignment function of RADIUS | TP-Link (https://www.tp-link.com/us/support/faq/3152/)
Tất nhiên là thay vì điền attributes cho từng login, các bác cũng có thể tạo user groups rồi điền attributes cho user groups, và sau đó chỗ login cho user vào group tương ứng, khi đó không cần thêm Attributes cho từng User nữa:
Trên cấu hình của AP thì tạo thông tin về RADIUS server là địa chỉ con router MikroTik, với shared secret đã chọn. Cấu hình SSID chuyển sang WPA3 Enterprise nếu được (hoặc WPA2 Enterprise nếu AP chỉ hỗ trợ cái đó) và chọn server RADIUS tương ứng là xong. Em không dùng Aruba nên không minh họa được khoản này, chắc là ở đây https://www.arubanetworks.com/techd.../cfg/bridge-mod-dep/cfg-external-auth-rad.htm
Trên AP UniFi thì tạo RADIUS Profile, đánh dấu chọn RADIUS Assigned VLAN Support, và chỗ cấu hình WiFi Names thì chọn WPA3 Enterprise cùng cái RADIUS profile đã tạo.
Trên các thiết bị client khi login sẽ cần cả username lẫn password. Nếu các bác ở trên có tạo certificate Let's Encrypt thì có thể thêm bước cho thiết bị kiểm tra certificate nữa cho an toàn (domain là domain DDNS bác đã dùng để tạo certificate Let's Encrypt, CA Certificate thì Use system certificates là đủ).
Tóm lại là cuối cùng chỉ cần 1 cái SSID cho các thiết bị ngu (kiểu IoT) không hỗ trợ WPA2/3 Enterprise, với 1 cái SSID chung cho tất cả mọi thứ là đủ. RADIUS server trên RouterOS đã sẵn có 1 cái, các bác cái package User Manager User Manager - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/User+Manager) vào, bật lên, có thể dùng Let's Encrypt tạo thêm certificate cho an toàn (RouterOS hỗ trợ Certificates - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Certificates#Certificates-Let'sEncryptcertificates))
Phần Routers tạo cho mỗi access point 1 entry, địa chỉ IP của access point và shared secret sẽ dùng lúc cấu hình trên AP:
Sang phần Users tạo login.
Chỗ Shared Users tăng lên nếu muốn nhiều thiết bị đồng thời dùng được chung 1 login. Quan trọng cho vấn đề VLAN ở đây là phần Attributes. Em dùng access point UniFi thì cần các attributes như trên, với cái VLAN ID 60 như trong hình đi theo Attribute Tunnel-Private-Group-ID. Các bác dùng Aruba thì tham khảo bảng RADIUS Server VSAs ở trang này:
Các bác có hai lựa chọn với Aruba, hoặc là dùng attribute Aruba-User-Vlan, gán VLAN ID vào đây, hoặc dùng Aruba-Named-User-Vlan rồi gán tên VLAN cho từng users, rồi cấu hình trên Aruba cho tên VLAN nào ứng với VLAN ID nào. Để tạo các vendor attributes riêng của Aruba này, các bác vào bảng Attributes và tạo:
Vendor ID cho Aruba là 14823, Type ID và Value Type các bác tham khảo ở bảng trang Aruba kia (Aruba-User-Vlan Type ID 2, Value Type uint32; Aruba-Named-User-Vlan Type ID 9, Value Type: string).
EDIT: có vẻ Aruba cũng hỗ trợ mấy attribute Tunnel chuẩn kia, các bác thử xem có được không nếu được không cần VSA của Aruba: https://www.arubanetworks.com/techd...Network_Parameters/About_VLAN_Assignments.htm
Dòng Omada/EAP của TP-Link cũng dùng attributes như UniFi Configuration Guide on Dynamic VLAN with the VLAN Assignment function of RADIUS | TP-Link (https://www.tp-link.com/us/support/faq/3152/)
Tất nhiên là thay vì điền attributes cho từng login, các bác cũng có thể tạo user groups rồi điền attributes cho user groups, và sau đó chỗ login cho user vào group tương ứng, khi đó không cần thêm Attributes cho từng User nữa:
Trên cấu hình của AP thì tạo thông tin về RADIUS server là địa chỉ con router MikroTik, với shared secret đã chọn. Cấu hình SSID chuyển sang WPA3 Enterprise nếu được (hoặc WPA2 Enterprise nếu AP chỉ hỗ trợ cái đó) và chọn server RADIUS tương ứng là xong. Em không dùng Aruba nên không minh họa được khoản này, chắc là ở đây https://www.arubanetworks.com/techd.../cfg/bridge-mod-dep/cfg-external-auth-rad.htm
Trên AP UniFi thì tạo RADIUS Profile, đánh dấu chọn RADIUS Assigned VLAN Support, và chỗ cấu hình WiFi Names thì chọn WPA3 Enterprise cùng cái RADIUS profile đã tạo.
Trên các thiết bị client khi login sẽ cần cả username lẫn password. Nếu các bác ở trên có tạo certificate Let's Encrypt thì có thể thêm bước cho thiết bị kiểm tra certificate nữa cho an toàn (domain là domain DDNS bác đã dùng để tạo certificate Let's Encrypt, CA Certificate thì Use system certificates là đủ).
Last edited:
anhtai81
Junior Member
Các bác rành về Aruba cho e hỏi chút nhé, mình có thể tag 2 VLAN vào cùng 1 SSID được không vậy ? trên Mikrotik đã tạo 2 VLAN rồi. E đang tạo 2 SSID khác nhau tag 2 vlan vào ok rồi nhưng muốn 1 SSID chạy được 2 VLAN. Có nghĩa là khi thiết bị 1 kết nối đến thì sẽ tự động nhận IP VLAN 10 hoặc 20, thiết bị thứ 2 thì cũng thế. E xin cảm ơn
wuhoatu
Senior Member
CGGX_ANNX
Senior Member
Cái post của em ngay trên post này của bác nói về vấn đề này đó. Nếu bác chuyển sang dùng WPA Enterprise thì các thiết bị nối vào 1 SSID sẽ cung cấp cả username lẫn password, không chỉ mỗi cái passphrase. Trên router MikroTik cho bác quản lý các tài khoản user này có thể bảo tài khoản nào dùng VLAN nào. Ở nhà em dùng AP UniFi và chạy ngon lành, bên Aruba cũng hỗ trợ như thế.
Tóm lại 1 SSID bác cho vô số user account sử dụng được, và thích ép users nào vào VLAN nào thì ép. Chỉ có mỗi các thiết bị IoT không có khả năng hỗ trợ WPA (2/3) Enterprise thì mới cần tạo SSID kiểu cũ thôi ạ. Chia thành account bác quản lý accounting với chặn truy cập theo giờ từng thiết bị được trên RouterOS. Ngoài ra có thể ép 1 account chỉ login cùng lúc 1 thiết bị, nên các con bác không share login với nhau được.
anhtai81
Junior Member
Bác test giúp e nhé, với lại có video nào hướng dẫn phân nhóm AP thành từng cụm không nhỉ ? Ví dụ tầng 1 có 2 AP thì người ở T1 sẽ tự động kết nối vào 2 cục đó thôi cho mạnh chứ không kết nối cục ở xa chẳng hạn
wuhoatu
Senior Member
Bác @CGGX_ANNX hướng dẫn ở đây luôn rồi bác
kiến thức - Tạo VLAN trên Mikrotik và chia mạng Wifi với Aruba
kể cả e access thêm 2 port khác với vlan 20 và 30 cho pc cũng k nhận được IP bác
voz.vn
system32_ntk
Senior Member
Mấy con Access Point dành cho Enterprise hoặc SOHO hầu hết hỗ trợ đó fen.
Ubiquiti Unifi, TP-LINK Omada,...
tosimco
Senior Member
Aruba đời thấp thấy rao bán là hàng cũ tân trang lại hả b?
Mấy thương hiệu khác giá cao ko b? Vì nhu cầu cũng giống như b #1 là tách hẳn, ko cho đụng chạm lẫn nhau.
system32_ntk
Senior Member
Mấy con Aruba đời thấp kia hầu hết tân trang thôi b, đời cao thì có new, còn giá hợp lí thì Aruba còn hệ Instant ON nữa.
Tp-link Omada thì mình lắp vài site rồi, cơ bản cũng hướng đến quy mô nhỏ hoặc vừa vừa chút thôi. Access Point và Switch của họ khá ổn mà giá ngon, còn Router/Firewall thì hơi lởm, dùng Mikrotik hoặc hẳn con PC cho chạy Pf/Opnsense ngon hơn.
tosimco
Senior Member
Đang chạy con PC Mikrotik và mấy con mesh của nhà mạng. Hiện tại muốn tách wifi. B có recommend aruba nào ko ko? Mình ở SG.
Thank!
system32_ntk
Senior Member
Aruba thì mình không quá rõ nhưng chắc giờ ít nhất nên chạy dòng 3xx đổ lên, như 325
Mấy con trước đó có vẻ khá cũ rồi.
yellow_submarine
Member
Mấy dòng ap doanh nghiệp dùng 802.1X authentication đều có chung attribute tunnel giống nhau: ruckus, aerohive/extreme...vv. Đang dùng opnSense với freeRADIUS, ap là aerohive, 1 sdd cho 4 VLAN hơn năm rồi.
Similar threads
