Thiết lập Guest Network (Mạng Khách

Zyxel_Nami
Zyxel_Nami Bài gửi: 657  Zyxel Employee
Zyxel Certified Network Engineer Level 1 - Switch Zyxel Certified Network Engineer Level 1 - Security Zyxel Certified Network Administrator - Nebula Zyxel Certified Sales Associate
đã sửa Tháng 10 29 trong Nebula


Giới thiệu

Việc cung cấp WiFi cho khách hàng đã trở thành một trong những nhu cầu cơ bản trong kinh doanh hiện nay, là điều không thể thiếu đối với quán café, nhà hàng, chuỗi cửa hàng và các lĩnh vực như giáo dục và khách sạn. Nhưng nhu cầu không chỉ đơn giản là cung cấp kết nối WiFi, người quản trị cần đảm bảo mạng được xây dựng trên các lớp bảo mật cho phép doanh nghiệp duy trì cả mạng khách và mạng nội bộ được cô lập và an toàn.

Bài viết này sẽ hướng dẫn các quản trị viên mạng cách thiết lập mạng khách và mạng nội bộ thông qua Nebula Control Center (NCC), chỉ ra các phương pháp khác nhau mà Nebula cung cấp.

Tối ưu mạng hiện có

NCC cung cấp trình hướng dẫn tiện lợi cho phép bạn tùy chọn thiết lập cả mạng WiFi nội bộ (nhân viên) và mạng WiFi khách với các cài đặt đơn giản hóa. Các tùy chọn ở đây được đơn giản hóa và mạng WiFi có thể được thiết lập thêm theo các bước sau:

SSID Advanced settings (Cài đặt nâng cao SSID)

Khi đã thiết lập xong, bạn có thể thay đổi cài đặt xác thực Wi-Fi bất cứ lúc nào, chỉ cần vào Configure > Access Points > SSID advanced settings, chọn SSID bạn muốn thay đổi và kiểm tra các tùy chọn truy cập mạng có sẵn:

Các phương thức bảo mật:

Có 3 phương thức nâng cao như sau để chỉ định cách người dùng Wi-Fi kết nối với mạng.

  • WPA2 Pre-shared key: một phương thức đơn giản với bảo mật passphrase và mã hóa AES
  • MAC authentication: đảm bảo chỉ những thiết bị có địa chỉ MAC đã được chỉ định trước mới được phép kết nối. Hỗ trợ RADIUS và Nebula Cloud Authentication Servers (NCAS)
  • WPA2 Enterprise with 802.1x: với xác thực EAP và mã hóa AES hỗ trợ máy chủ RADIUS và NCAS

Khi thiết lập mạng khách cho các môi trường như chuỗi cửa hàng, nhà hàng, v.v., nên lựa chọn phương thức bảo mật là Open hoặc WPA2-PSK (cung cấp mật khẩu) để thuận tiện cho việc xác thực. Khách sạn và trường học có thể thêm lớp xác thực MAC. Đối với mạng nội bộ, nên cài đặt WPA2 Enterprise với 802.1x hoặc WPA2-PSK với xác thực MAC để đảm bảo an ninh.

Captive portal

Trước khi cho phép người dùng WiFi truy cập vào tài nguyên mạng, trang captive portal sẽ hiển thị dựa vào một trong những thiết lập sau:

  • Click-to-continue: người dùng phải đồng ý với điều khoản hoặc tin nhắn được hiển thị trên web bằng cách chọn "Đồng ý".
  • Xác thực Nebula Cloud: yêu cầu người dùng nhập tên người dùng/mật khẩu hoặc cho phép họ tự đăng ký tài khoản. Dịch vụ được cung cấp bởi Nebula, tài khoản có thể được quản lý tại Site-wide > Cloud authentication.
  • Máy chủ RADIUS: yêu cầu người dùng nhập tên người dùng/mật khẩu đã được chỉ định trong máy chủ RADIUS của công ty.

Khuyến nghị nên cài đặt xác thực captive portal cho mạng khách. Click-to-continue là cách đơn giản nhất cho cả quản trị viên và người dùng, được khuyến nghị khi không cần kiểm soát ai đang truy cập.

Trong các môi trường như khách sạn, trường học hoặc doanh nghiệp (mạng nội bộ), xác thực Nebula cloud hoặc máy chủ RADIUS là giải pháp lý tưởng vì cơ sở dữ liệu người dùng có thể được quản trị mạng kiểm soát dễ dàng.

Ngay khi người dùng được kết nối và xác thực, bạn có thể kiểm tra thông tin xác thực được sử dụng trong mục Clients.

Các tính năng AP guest

Nebula cung cấp một số tính năng giúp thiết lập một Mạng hách cô lập:

  • Configure > Access Points > SSID advanced settings
    • Intra-BSS traffic blocking: ngăn chặn lưu lượng giữa các người dùng WiFi kết nối với cùng một BSSID. Lưu ý rằng 2.4 GHz và 5GHz được định nghĩa là các BSSID khác nhau.
    • L2 isolation (cô lập lớp 2): giới hạn người dùng WiFi chỉ giao tiếp với các thiết bị có địa chỉ MAC đã được thêm vào danh sách miễn trừ, do đó, việc liệt kê địa chỉ MAC của gateway là cần thiết để đảm bảo người dùng WiFi có kết nối internet.
  • Configure > WiFi SSID settings
    • Guest network: một cách dễ dàng để cấu hình mạng khách cho SSID. AP sẽ tự động thêm địa chỉ MAC của gateway (management VLAN). Nếu SSID sử dụng VLAN được cấu hình trong gateway/server hoặc nhóm cổng khác, cần thêm vào địa chỉ MAC.

Giao diện và các tùy chọn nâng cao cho Captive portaportal

Configure > Access Points > SSID advanced settings > Sign-in method

Khi thiết lập captive portal, NCC cung cấp các tùy chọn sau cho phép quản trị viên tối ưu mạng khách:

  • Walled garden: có thể cấu hình cho từng SSID, cho phép nhập URL được hiển thị trước khi xác thực captive portal.
  • Self-registration (Tự đăng ký): chỉ có sẵn với NCAS. Tính năng này xác định liệu người dùng có được phép tạo tài khoản qua captive portal hay không. Nếu được phép, quản trị mạng sẽ phê duyệt tài khoản do người dùng tạo; phê duyệt tự động cho phép người dùng xác thực ngay khi tạo tài khoản. Nếu không cho phép, quản trị mạng cần tạo tài khoản thủ công tại Configure > Cloud authentication.
  • Giới hạn đăng nhập đồng thời: Có thể giới hạn số thiết bị đăng nhập cùng lúc. Có thể là một hoặc nhiều thiết bị. Nhấp vào Model list để biết rõ số lượng hỗ trợ cho từng sản phẩm.
  • Strict policy: sử dụng tùy chọn này để quyết định liệu người dùng có được phép truy cập trang web HTTPS trước khi xác thực captive portal, hoặc chặn tất cả truy cập cho đến khi người dùng xác thực thành công.
  • Reauth time (thời gian xác thực lại): Trang đồng ý sẽ hiển thị một lần nữa khi hết thời gian cho phép. Quản trị viên có thể chọn áp dụng theo cài đặt site-wide hoặc ấn định thời gian cụ thể.
  • NCAS disconnect behavior (Hành vi ngắt kết nối NCAS): Khi không thể truy cập Nebula Cloud Authentication Server, lựa chọn chế độ mà bạn muốn thực hiện

Configure > Access Points > Captive portal customization

Nebula cũng cung cấp công cụ cho phép quản trị viên tùy chỉnh captive portal với các giao diện khác nhau, cho doanh nghiệp hoặc khách sạn cần hiển thị các thông điệp chào mừng, logo hoặc liên kết đến URL bên ngoài, nơi bạn có thể nhập các thông tin ưu đãi hoặc điều khoản và điều kiện mong muốn để chào đón khách.

Khuyến nghị nên cài đặt tự đăng ký với phê duyệt tự động cho những môi trường khó kiểm soát hoặc không cần kiểm soát của quản trị viên, như nhà hàng, quán café, chuỗi cửa hàng, v.v. Phương thức không cho phép tự đăng ký có thể được áp dụng trong môi trường như khách sạn, nơi tài khoản có thể được tạo khi khách check-in. Tính năng Strict Policy chặn tất cả truy cập được khuyến nghị để buộc người dùng xác thực qua captive portal, và để đảm bảo Captive Network Assistant (CNA) của điện thoại di động được hiển thị.

Cuối cùng, captive portal được xem xét là một công cụ hữu ích để quảng cáo hoặc truyền tải thông điệp của doanh nghiệp đến người dùng; do đó, việc chọn phương thức xác thực phù hợp cho doanh nghiệp của bạn là điều cần thiết, cùng với thiết kế tùy chỉnh phù hợp để thu hút người dùng một cách dễ dàng.

See how you've made an impact in Zyxel Community this year!

https://bit.ly/Your2024Moments_Community

Nami