Tiện chủ đề router MikroTik + AP + VLAN này: nếu có nhiều VLAN mà các bác không muốn spam quá nhiều access point, thì có thể nghĩ đến phương án dùng WPA(2/3) Enterprise. Khi đó quản lý login vào WiFi bằng tài khoản RADIUS. VLAN ID tự chọn cho từng tài khoản được, trong khi chỉ cần đúng 1 SSID duy nhất. Có thể tạo tài khoản cho từng thiết bị, giới hạn 1 tài khoản chỉ cùng lúc login vào bằng 1 thiết bị (như thế các con các bác nó muốn share nhau login wifi cũng không được), giới hạn ngày giờ login theo tài khoản, hay tài khoản guest có thể tạo nhiều cái on-demand hay cho nó đổi pass tự động hàng ngày (script trên router MikroTik), v.v...
Tóm lại là cuối cùng chỉ cần 1 cái SSID cho các thiết bị ngu (kiểu IoT) không hỗ trợ WPA2/3 Enterprise, với 1 cái SSID chung cho tất cả mọi thứ là đủ. RADIUS server trên RouterOS đã sẵn có 1 cái, các bác cái package User Manager
User Manager - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/User+Manager) vào, bật lên, có thể dùng Let's Encrypt tạo thêm certificate cho an toàn (RouterOS hỗ trợ
Certificates - RouterOS - MikroTik Documentation (https://help.mikrotik.com/docs/display/ROS/Certificates#Certificates-Let'sEncryptcertificates))
Phần Routers tạo cho mỗi access point 1 entry, địa chỉ IP của access point và shared secret sẽ dùng lúc cấu hình trên AP:
Sang phần Users tạo login.
Chỗ Shared Users tăng lên nếu muốn nhiều thiết bị đồng thời dùng được chung 1 login. Quan trọng cho vấn đề VLAN ở đây là phần Attributes. Em dùng access point UniFi thì cần các attributes như trên, với cái VLAN ID 60 như trong hình đi theo Attribute Tunnel-Private-Group-ID. Các bác dùng Aruba thì tham khảo bảng
RADIUS Server VSAs ở trang này:
Các bác có hai lựa chọn với Aruba, hoặc là dùng attribute Aruba-User-Vlan, gán VLAN ID vào đây, hoặc dùng Aruba-Named-User-Vlan rồi gán tên VLAN cho từng users, rồi cấu hình trên Aruba cho tên VLAN nào ứng với VLAN ID nào. Để tạo các vendor attributes riêng của Aruba này, các bác vào bảng Attributes và tạo:
Vendor ID cho Aruba là 14823, Type ID và Value Type các bác tham khảo ở bảng trang Aruba kia (Aruba-User-Vlan Type ID 2, Value Type uint32; Aruba-Named-User-Vlan Type ID 9, Value Type: string).
EDIT: có vẻ Aruba cũng hỗ trợ mấy attribute Tunnel chuẩn kia, các bác thử xem có được không nếu được không cần VSA của Aruba:
https://www.arubanetworks.com/techd...Network_Parameters/About_VLAN_Assignments.htm
Dòng Omada/EAP của TP-Link cũng dùng attributes như UniFi
Configuration Guide on Dynamic VLAN with the VLAN Assignment function of RADIUS | TP-Link (https://www.tp-link.com/us/support/faq/3152/)
Tất nhiên là thay vì điền attributes cho từng login, các bác cũng có thể tạo user groups rồi điền attributes cho user groups, và sau đó chỗ login cho user vào group tương ứng, khi đó không cần thêm Attributes cho từng User nữa:
Trên cấu hình của AP thì tạo thông tin về RADIUS server là địa chỉ con router MikroTik, với shared secret đã chọn. Cấu hình SSID chuyển sang WPA3 Enterprise nếu được (hoặc WPA2 Enterprise nếu AP chỉ hỗ trợ cái đó) và chọn server RADIUS tương ứng là xong. Em không dùng Aruba nên không minh họa được khoản này, chắc là ở đây
https://www.arubanetworks.com/techd.../cfg/bridge-mod-dep/cfg-external-auth-rad.htm
Trên AP UniFi thì tạo RADIUS Profile, đánh dấu chọn RADIUS Assigned VLAN Support, và chỗ cấu hình WiFi Names thì chọn WPA3 Enterprise cùng cái RADIUS profile đã tạo.
Trên các thiết bị client khi login sẽ cần cả username lẫn password. Nếu các bác ở trên có tạo certificate Let's Encrypt thì có thể thêm bước cho thiết bị kiểm tra certificate nữa cho an toàn (domain là domain DDNS bác đã dùng để tạo certificate Let's Encrypt, CA Certificate thì Use system certificates là đủ).