[Meraki] Triển khai mạng Wi-Fi Personal Network (WPN) - Mạng Cá nhân Không dây

Thảo luận trong 'Firewall Cisco Meraki' bắt đầu bởi hvminh, 13/9/22.

Tags:
  1. hvminh

    hvminh Member

    TỔNG QUAN:
    - Môi trường doanh nghiệp lớn nơi người dùng chia sẻ cùng một mạng Wi-Fi để kết nối các thiết bị của họ đưa ra những thách thức riêng. Ví dụ, user có thể thấy khó khăn trong việc tìm ra thiết bị của chính họ so với mức độ lớn của các thiết bị khác có trong cùng mạng khí sử dụng các giao thức tìm kiếm như AirPlay. Ngoài ra, những tác nhân nguy hại có thể khai thác các giao thức này sau khi dành được quyền truy cập vào các mạng không dây được chia sẻ và đổi khi không an toàn trong các khu vực như ký túc xá, khách hạng, nhà ở cao cấp…

    - Wireless Personal Network (WPN) – Mạng Cá nhân Không dây giải quyết các thách thức bằng cách chia nhỏ mạng không dây trên cơ sở mỗi user và cung cấp trải nghiệm người dùng giống như ở nhà. Thêm vào đó, WPN cung cấp một môi trường độc lập tới mỗi user, ở đó các giao thức tìm kiếm như AirPlay cho phép user chỉ tím ra các thiết bị của họ đã được kết nối tới một SSID được chia sẻ bởi các thiết bị khác.

    - Hơn thế nữa, WPN cho phép phân đoạn các giao thức tìm kiếm và lưu lượng unicast trên một VLAN riêng, do đó, loại bỏ gánh nặng cấu hình các VLAN khác nhau trên mỗi tầng, phòng hoặc địa điểm và đơn giản hóa việc quản lý mạng.

    THÀNH PHẦN BÊN TRONG MỘT WPN:
    - WPN dựa trên việc sử dụng Identity PSK (iPSK) mà không có tính năng RADIUS. Việc định cấu hình iPSK duy nhất cho mỗi user cho phép tất cả các thiết bị của người dùng xác thực với SSID bằng cùng một mật khẩu và giao tiếp với nhau trong từng nhóm của họ.
    [​IMG]
    - WPN tận dụng tính năng Generic UDP Encapsulation (GUE) để tách các thiết bị không dây thuộc các nhóm iPSK khác nhau bằng cách thêm các ID WPN trong GUE header và chỉ chuyển tiếp các gói giữa các thiết bị có cùng WPN ID.

    - Khi hai thiết bị không dây trong cùng VLAN sử dụng chung WPN ID được kết nối tới hai AP khác nhau, AP nguồn thên GUE encapsulation header với WPN ID và gửi traffic tới LAN, tại đây nó đang được chuyển mạch bình thường bằng hệ thống phân phối. AP đích xóa WPN tag bằng cách phân rã gói tin và chuyển tiếp nó tới client không dây trong cùng nhóm iPSK.
    [​IMG]
    - WPN ID được thêm vào tất cả các gói tin được gửi bởi các client không dây được kết nối tới SSID có bật WPN ngoại trừ các gói tin đích đến cho default gateway.

    NHỮNG SẢN PHẨM VÀ FIRMWARE HỖ TRỢ:
    - Access Point sau hỗ trợ WPN trên bản firmware tối thiểu là MR 29.1.
    • Wi-Fi 6 and Wi-Fi 6E (802.11ax): MR45, MR55, MR36, MR36H, MR44, MR46, MR46E. MR56, MR76, MR86, MR57.
    • Wi-Fi 5 Wave 2 (802.11ac Wave 2): MR20, MR30H, MR33, MR42, MR42E, MR52, MR53, MR53E, MR70, MR74, MR84

    CẢNH BÁO VÀ HẠN CHẾ:
    • WPN chỉ có thể được bật với iPSK mà không có RADIUS như là một thuật toán xác thực.
    • 5000 iPSK nhóm mỗi SSID và 2x SSID với WPN bật trên mỗi mạng dashboard được hỗ trợ.
    • Thiết bị mạng không giây được kết nối tới một SSID bật WPN không thể giao tiếp với thiết bị hữu tuyến trên cùng VLAN (L2 domain) ngoại trừ cho default gateway.
    • Thiết bị mạng không giây được kết nối tới một SSID bật WPN có thể giao tiếp với thiết bị hữu tuyến trên VLAN khác thông qua L3 routing.

    - Meraki AP được phân công (NAT mode) không được hỗ trợ trên một SSID với WPN được bật. Chế độ chọn DHCP server mở rộng phải được sử dụng thay thế.

    - Các cổng Wired AP sử dụng port profiles không hỗ trợ WPN.

    CẤU HÌNH:
    - WPN dựa trên việc sử dụng Identity PSK (iPSK). Cấu hình một iPSK duy nhất mỗi user cho phép tất cả thiết bị của người dùng xác thực với SSID sử dụng cùng password và giao tiếp với nhau trong đoạn mạng của họ.
    [​IMG]
    Để cấu hình WPN, hãy làm theo các bước sau:
    1. Trên trang Dashboard > Network-wide > Configure > Group policies và tạo tối thiểu một group.

    2. Đi đến Wireless > Configure > Access control.

    3. Chọn SSID mong muốn từ danh sách menu trên cùng của page.
    Lưu ý: Hãy liên hệ với Meraki Support để có thế có cấu hình WPN. Tính năng sẽ chỉ được thêm vào trang Access control phiên bản mới. Nếu bạn không vẫn chưa sử dụng phiên bản mới, hãy click vào "View new version" ở góc phía trên bên phải trang Dashboard.

    4. Chọn Identity PSK without RADIUS dưới mục Security và click Add an Identity PSK.

    5. Cấu hình tên và passphrase, chọn 1 group policy.
    [​IMG]
    6. Sử dụng nút Add để cấu hình thêm các nhóm iPSK khác như mong muốn.

    7. Chọn Wi-Fi Personal Network (WPN) ở muc Enabled.
    Tùy chọn Enabled/Disabled WPN chỉ hiển thị khi có tối thiểu iSPK được cấu hình.
    [​IMG]
    8. Lưu các thay đổi ở phía cuối trang.

    TRIỂN KHAI ĐẾN NGƯỜI DÙNG:
    - Khi triển khai cho khu vực rộng lớn, nhóm người dùng thông thường sử dụng dịch vụ portal (vd: Splash Access) để cho phép các user xác thực và tạo ra từng PSK riêng biết để đẩy tới Meraki dashboard thông qua APIs.
    [​IMG]

    ---o0o---
     
    hvminh, 13/9/22
    #1

trang này